You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
L’HOMOLOGATION DE SÉCURITÉ<strong>en</strong> neuf étapes simples
Pourquoi l’<strong>homologation</strong> <strong>de</strong> sécurité ?Lorsqu’un responsable (autorité administrative, élu, dirigeant d’<strong>en</strong>treprise)déci<strong>de</strong> <strong>de</strong> faire déménager ses équipes dans <strong>de</strong> nouveaux locaux ou d’ouvrirun établissem<strong>en</strong>t recevant du public, il s’assure que les lieux sont conformes àla réglem<strong>en</strong>tation et que les bâtim<strong>en</strong>ts sont soli<strong>de</strong>s, afin que l’<strong>en</strong>semble puissefonctionner <strong>en</strong> toute sécurité pour les personnes et les bi<strong>en</strong>s. Il doit s’<strong>en</strong> assurermême s’il n’est pas un spécialiste <strong>de</strong> la construction et il s’appuie pour celasur <strong>de</strong>s garanties et <strong>de</strong>s argum<strong>en</strong>ts portés à sa connaissance par <strong>de</strong>s experts dudomaine.En matière d’informatique, l’<strong>homologation</strong> <strong>de</strong> sécurité joue le même rôle. Ellepermet à un responsable, <strong>en</strong> s’appuyant sur l’avis <strong>de</strong>s experts, <strong>de</strong> s’informer etd’attester aux utilisateurs d’un système d’information que les risques qui pès<strong>en</strong>tsur eux, sur les informations qu’ils manipul<strong>en</strong>t et sur les services r<strong>en</strong>dus, sontconnus et maîtrisés. L’<strong>homologation</strong> est d’autant plus nécessaire, aujourd’hui,que les systèmes d’information sont <strong>de</strong> plus <strong>en</strong> plus complexes et que les impactspot<strong>en</strong>tiels d’un inci<strong>de</strong>nt sont <strong>de</strong> plus <strong>en</strong> plus graves.La démarche d’<strong>homologation</strong>, recommandée <strong>de</strong>puis plusieurs années parl’Ag<strong>en</strong>ce nationale <strong>de</strong> la sécurité <strong>de</strong>s systèmes d’information (ANSSI), est doncun préalable à l’instauration <strong>de</strong> la confiance dans les systèmes d’information etdans leur exploitation.Pour un certain nombre <strong>de</strong> systèmes, cette recommandation est r<strong>en</strong>due obligatoirepar <strong>de</strong>s textes, tels que l’instruction générale interministérielle n° 1300,le référ<strong>en</strong>tiel général <strong>de</strong> sécurité (RGS) et la politique <strong>de</strong> sécurité <strong>de</strong>s systèmesd’information <strong>de</strong> l’État (PSSIE).1
Qu’est-ce qu’une <strong>homologation</strong> <strong>de</strong> sécurité ?En informatique, comme dans les autres domaines, le risque zéro n’existe pas.La démarche d’<strong>homologation</strong> <strong>de</strong> sécurité est <strong>de</strong>stinée à faire connaître et fairecompr<strong>en</strong>dre aux responsables les risques liés à l’exploitation d’un système d’information.Il s’agit d’un processus d’information et <strong>de</strong> responsabilisation qui aboutit à unedécision, prise par le responsable <strong>de</strong> l’organisation. Cette décision constitue unacte formel par lequel il :••atteste <strong>de</strong> sa connaissance du système d’information et <strong>de</strong>s mesures <strong>de</strong>sécurité (techniques, organisationnelles ou juridiques) mises <strong>en</strong> œuvre ;••accepte les risques qui <strong>de</strong>meur<strong>en</strong>t, qu’on appelle risques résiduels.La décision s’appuie sur l’<strong>en</strong>semble <strong>de</strong>s docum<strong>en</strong>ts que le responsable estim<strong>en</strong>écessaire et suffisant à sa prise <strong>de</strong> décision.La démarche d’<strong>homologation</strong> doit être adaptée aux <strong>en</strong>jeux <strong>de</strong> sécurité du système,notamm<strong>en</strong>t au contexte d’emploi, à la nature <strong>de</strong>s données cont<strong>en</strong>ues, ainsiqu’aux utilisateurs :• • dans les cas <strong>de</strong> systèmes complexes ou à fort <strong>en</strong>jeu <strong>de</strong> sécurité, il est souhaitableque le responsable s’<strong>en</strong>toure d’experts techniques et fonctionnels(la commission d’<strong>homologation</strong>). Il peut déléguer la prise <strong>de</strong> décision àl’un <strong>de</strong> ses représ<strong>en</strong>tants qui prési<strong>de</strong>ra ce comité d’experts ;• • dans le cas <strong>de</strong> systèmes simples, le responsable peut mettre <strong>en</strong> place <strong>de</strong>sprocédures simplifiées associant un nombre plus limité d’acteurs.2
Comm<strong>en</strong>t homologuer un système d’information ?La démarche d’<strong>homologation</strong> peut être décomposée <strong>en</strong> neuf étapes, dont lamise <strong>en</strong> œuvre est directem<strong>en</strong>t liée à la complexité du système à homologuer.Les questions posées lors <strong>de</strong> ces neuf étapes permett<strong>en</strong>t <strong>de</strong> constituer un dossier,sur lequel l’autorité d’<strong>homologation</strong> s’appuie pour pr<strong>en</strong>dre sa décision.Définition <strong>de</strong> la stratégie d’<strong>homologation</strong>Étape n° 1 : Quel système d’information dois-je homologuer et pourquoi ?Définir le référ<strong>en</strong>tiel réglem<strong>en</strong>taire applicable et délimiter le périmètre du système àhomologuer.Étape n° 2 : Quel type <strong>de</strong> démarche dois-je mettre <strong>en</strong> œuvre ?Estimer les <strong>en</strong>jeux <strong>de</strong> sécurité du système et <strong>en</strong> déduire la profon<strong>de</strong>ur nécessaire <strong>de</strong> ladémarche à mettre <strong>en</strong> œuvre.Étape n° 3 : Qui contribue à la démarche ?I<strong>de</strong>ntifier les acteurs <strong>de</strong> l’<strong>homologation</strong> et leur rôle (décisionnaire, assistance, expertisetechnique, etc.).Étape n° 4 : Comm<strong>en</strong>t s’organise-t-on pour recueillir et prés<strong>en</strong>ter les informations?Détailler le cont<strong>en</strong>u du dossier d’<strong>homologation</strong> et définir le planning.Maîtrise <strong>de</strong>s risquesÉtape n° 5 : Quels sont les risques pesant sur le système ?Analyser les risques pesant sur le système <strong>en</strong> fonction du contexte et <strong>de</strong> la nature <strong>de</strong>l’organisme et fixer les objectifs <strong>de</strong> sécurité.3
Étape n° 6 : La réalité correspond-elle à l’analyse ?Mesurer l’écart <strong>en</strong>tre les objectifs et la réalité.Étape n° 7 : Quelles sont les mesures <strong>de</strong> sécurité supplém<strong>en</strong>taires à mettre <strong>en</strong>œuvre pour couvrir ces risques ?Analyser et mettre <strong>en</strong> œuvre les mesures nécessaires à la réduction <strong>de</strong>s risques pesant surle système d’information. I<strong>de</strong>ntifier les risques résiduels.Prise <strong>de</strong> décisionÉtape n° 8 : Comm<strong>en</strong>t réaliser la décision d’<strong>homologation</strong> ?Accepter les risques résiduels : l’autorité d’<strong>homologation</strong> signe une attestation formelleautorisant la mise <strong>en</strong> service du système d’information, du point <strong>de</strong> vue <strong>de</strong> la sécurité.Suivi a posterioriÉtape n° 9 : Qu’est-il prévu pour maint<strong>en</strong>ir la sécurité et continuer <strong>de</strong> l’améliorer?Mettre <strong>en</strong> place une procédure <strong>de</strong> révision périodique <strong>de</strong> l’<strong>homologation</strong> et un pland’action pour traiter les risques résiduels et les nouveaux risques qui apparaîtrai<strong>en</strong>t.4
Table <strong>de</strong>s matièresObjectifs <strong>de</strong> l’<strong>homologation</strong> <strong>de</strong> sécuritéÉtape n° 1 : Quel système d’information dois-je faire homologueret pourquoi ?Étape n° 2 : Quel type <strong>de</strong> démarche dois-je mettre <strong>en</strong> œuvre ?Étape n° 3 : Qui contribue à la démarche ?Étape n° 4 : Comm<strong>en</strong>t s’organise-t-on pour recueillir et prés<strong>en</strong>terles informations ?Étape n° 5 : Quels sont les risques pesant sur le système ?Étape n° 6 : La réalité correspond-elle à l’analyse ?Étape n° 7 : Quelles sont les mesures <strong>de</strong> sécurité supplém<strong>en</strong>tairespour couvrir ces risques ?Étape n° 8 : Comm<strong>en</strong>t réaliser la décision d’<strong>homologation</strong> ?Étape n° 9 : Qu’est-il prévu pour continuer d’améliorer la sécurité ?Conseils pratiquesAnnexe 1 : Estimation rapi<strong>de</strong> du besoin <strong>de</strong> sécurité d’un systèmed’informationAnnexe 2 : Estimation rapi<strong>de</strong> du niveau <strong>de</strong> maturité <strong>de</strong> l’organismeAnnexe 3 : Liste <strong>de</strong>s docum<strong>en</strong>ts pouvant être cont<strong>en</strong>us dans un dossierd’<strong>homologation</strong>Annexe 4 : Liste <strong>de</strong> m<strong>en</strong>aces, issue <strong>de</strong> la base <strong>de</strong> connaissanceEBIOS79131723293337414548525961715
Objectifs <strong>de</strong> l’<strong>homologation</strong> <strong>de</strong> sécuritéEn informatique, comme dans les autres domaines, le risque zéro n’existe pas.L’objectif <strong>de</strong> la démarche d’<strong>homologation</strong> d’un système d’information (SI) est <strong>de</strong>trouver un équilibre <strong>en</strong>tre le risque acceptable et les coûts <strong>de</strong> sécurisation, puis<strong>de</strong> faire arbitrer cet équilibre, <strong>de</strong> manière formelle, par un responsable qui aautorité pour le faire.Cette démarche permet d’améliorer la sécurité pour un coût optimal, <strong>en</strong>évitant la « sur-sécurité », mais <strong>en</strong> pr<strong>en</strong>ant égalem<strong>en</strong>t <strong>en</strong> compte le coût d’unév<strong>en</strong>tuel inci<strong>de</strong>nt <strong>de</strong> sécurité. Elle permet <strong>de</strong> s’assurer que les risques pesantsur le SI, dans son contexte d’utilisation, sont connus et maîtrisés <strong>de</strong> manièreactive, prév<strong>en</strong>tive et continue.La démarche d’<strong>homologation</strong> doit s’intégrer dans le cycle <strong>de</strong> vie du systèmed’information. Elle compr<strong>en</strong>d plusieurs étapes clés, détaillées au sein duprés<strong>en</strong>t docum<strong>en</strong>t. Il est nécessaire <strong>de</strong> les suivre <strong>en</strong> même temps que les phases<strong>de</strong> développem<strong>en</strong>t du système : opportunité, faisabilité, conception, réalisation,validation, exploitation, maint<strong>en</strong>ance et fin <strong>de</strong> vie. En outre cette démarchedoit être lancée suffisamm<strong>en</strong>t tôt, afin <strong>de</strong> pouvoir déterminer les exig<strong>en</strong>ces <strong>de</strong>sécurité qui seront intégrées dans les cahiers <strong>de</strong>s charges <strong>de</strong> développem<strong>en</strong>t oud’acquisition.La décision d’<strong>homologation</strong> est le résultat du processus. Son objet est <strong>de</strong>vérifier que le responsable a analysé les risques <strong>de</strong> sécurité et a mis <strong>en</strong> œuvre lesdispositifs adaptés à la m<strong>en</strong>ace.Le terme « <strong>homologation</strong> » recouvre donc <strong>de</strong>ux notions distinctes :••la démarche d’<strong>homologation</strong>, avant tout <strong>de</strong>stinée à faire connaître etfaire compr<strong>en</strong>dre aux responsables les risques liés à l’exploitation d’unsystème d’information. Elle se conclut par une décision, sout<strong>en</strong>ue par laconstitution et l’analyse d’un dossier <strong>de</strong> sécurité ;••la décision formelle d’<strong>homologation</strong> (égalem<strong>en</strong>t appelée attestation formelle).7
Se lancer dans une démarche d’<strong>homologation</strong> est relativem<strong>en</strong>t simple : il s’agit<strong>de</strong> vérifier que la sécurité n’a pas été oubliée avant la mise <strong>en</strong> place du systèmed’information et d’appliquer les mesures <strong>de</strong> sécurité nécessaires et proportionnées.Les neuf étapes simples prés<strong>en</strong>tées dans ce docum<strong>en</strong>t permettront à unchef <strong>de</strong> projet ou à un comité <strong>de</strong> pilotage SSI <strong>de</strong> préparer un dossier d’<strong>homologation</strong>et <strong>de</strong> le prés<strong>en</strong>ter au responsable, désigné autorité d’<strong>homologation</strong>.L’autorité d’<strong>homologation</strong> pourra alors pr<strong>en</strong>dre une décision éclairée surla base <strong>de</strong> ce dossier, qui doit apporter <strong>de</strong>s réponses pertin<strong>en</strong>tes à l’<strong>en</strong>semble <strong>de</strong>squestions qu’elle se pose.8
1étape n°Quel système d’information dois-jefaire homologuer et pourquoi ?
QUEL SYSTÈME D’INFORMATION DOIS-JE FAIRE HOMOLOGUER ET POURQUOI ?Durant la première étape, vous allez préciser le référ<strong>en</strong>tiel réglem<strong>en</strong>taireapplicable et délimiter le périmètre du système à homologuer.1 . Préciser le référ<strong>en</strong>tiel réglem<strong>en</strong>taireLa démarche d’<strong>homologation</strong> est recommandée <strong>de</strong>puis plusieurs années parl’Ag<strong>en</strong>ce nationale <strong>de</strong> la sécurité <strong>de</strong>s systèmes d’information (ANSSI). Pour uncertain nombre <strong>de</strong> systèmes, cette recommandation est r<strong>en</strong>due obligatoire par :••l’instruction générale interministérielle n° 1300 (IGI 1300), pour lessystèmes traitant d’informations classifiées <strong>de</strong> déf<strong>en</strong>se ;••le référ<strong>en</strong>tiel général <strong>de</strong> sécurité (RGS), pour les systèmes permettant<strong>de</strong>s échanges <strong>en</strong>tre une autorité administrative et les usagers ou <strong>en</strong>treautorités administratives ;••la politique <strong>de</strong> sécurité <strong>de</strong>s systèmes d’information <strong>de</strong> l’État (PSSIE),pour les systèmes <strong>de</strong>s administrations <strong>de</strong> l’État.Il est indisp<strong>en</strong>sable <strong>de</strong> déterminer à quel titre le système d’information doit êtrehomologué. En effet, même si la démarche d’<strong>homologation</strong> reste i<strong>de</strong>ntique danstous les cas, le référ<strong>en</strong>tiel réglem<strong>en</strong>taire constitue un élém<strong>en</strong>t crucial pour ladélimitation du périmètre et la constitution du dossier d’<strong>homologation</strong>.2 . Délimiter le périmètre du systèmeLe périmètre du système d’information à homologuer doit comporter tous lesélém<strong>en</strong>ts indisp<strong>en</strong>sables au fonctionnem<strong>en</strong>t du système. La délimitation du périmètr<strong>en</strong>e doit comporter aucune ambiguïté, car elle permet <strong>de</strong> déterminer et<strong>de</strong> caractériser précisém<strong>en</strong>t les systèmes qui seront homologués. La <strong>de</strong>scription<strong>de</strong> ce périmètre compr<strong>en</strong>d :••<strong>de</strong>s élém<strong>en</strong>ts fonctionnels et d’organisation : fonctionnalités du sys-10
QUEL SYSTÈME D’INFORMATION DOIS-JE FAIRE HOMOLOGUER ET POURQUOI ?tème, type d’utilisateurs, contexte et règles d’emploi, procédures formalisées,conditions d’emploi <strong>de</strong>s produits <strong>de</strong> sécurité, gestion <strong>de</strong>s droits,dispositifs <strong>de</strong> détection et <strong>de</strong> gestion <strong>de</strong>s inci<strong>de</strong>nts ;••<strong>de</strong>s élém<strong>en</strong>ts techniques : architecture du système (<strong>en</strong> précisant notamm<strong>en</strong>tles interconnexions avec d’autres systèmes), possibilité d’utilisation<strong>de</strong> supports amovibles, d’accès à distance ou <strong>de</strong> cloisonnem<strong>en</strong>t, mécanismes<strong>de</strong> maint<strong>en</strong>ance, d’exploitation ou <strong>de</strong> télégestion du système,notamm<strong>en</strong>t lorsque ces opérations sont effectuées par <strong>de</strong>s prestatairesexternes ;••le périmètre géographique et physique : localisations géographiques etcaractéristiques <strong>de</strong>s locaux.Le périmètre peut évoluer au cours <strong>de</strong> la démarche d’<strong>homologation</strong>, mais ilest recommandé d’aboutir rapi<strong>de</strong>m<strong>en</strong>t à une délimitation stable <strong>de</strong> celui-ci. Ilest égalem<strong>en</strong>t recommandé d’appliquer une démarche d’<strong>homologation</strong> pourchaque service applicatif ou système d’information.Les questions qui se pos<strong>en</strong>t à la première étapeLe système d’information est (ou sera) composé <strong>de</strong> certainesbriques matérielles et logicielles que je ne maîtrise pas, car je lesachète à un industriel, un éditeur ou un intégrateur. Comm<strong>en</strong>tgarantir leur niveau <strong>de</strong> sécurité ?Lorsque ces briques sont <strong>de</strong>s composants ess<strong>en</strong>tiels <strong>de</strong> sécurité, elles doiv<strong>en</strong>t <strong>de</strong> préfér<strong>en</strong>cefaire l’objet d’une labellisation <strong>de</strong> sécurité (qualification ou à défaut certification).Lorsque ces briques sont <strong>de</strong>s composants ess<strong>en</strong>tiels <strong>de</strong> la fonction applicative, il faut11
QUEL SYSTÈME D’INFORMATION DOIS-JE FAIRE HOMOLOGUER ET POURQUOI ?exiger auprès du fournisseur un cahier <strong>de</strong> sécurité, qui offre <strong>de</strong>s garanties, préciseles conditions d’emploi et définit <strong>de</strong>s règles <strong>de</strong> sécurité. Le cas échéant, <strong>de</strong>s audits <strong>de</strong>co<strong>de</strong> peuv<strong>en</strong>t être réalisés (cf. étapes suivantes).Ces docum<strong>en</strong>ts sont versés au dossier d’<strong>homologation</strong> du système.Plusieurs services applicatifs, nécessitant chacun une <strong>homologation</strong>,sont hébergés sur une même plate-forme technique avec <strong>de</strong>sressources mutualisées. Dois-je inclure la plate-forme dans toutesles <strong>homologation</strong>s ?Dans ce cas, il est recommandé d’homologuer séparém<strong>en</strong>t la plate-forme technique,<strong>en</strong> étudiant les risques qui lui sont propres et qui impact<strong>en</strong>t pot<strong>en</strong>tiellem<strong>en</strong>t tous lesservices applicatifs qu’elle héberge.J’aurais dû faire homologuer le système d’information avant samise <strong>en</strong> service, mais je ne l’ai pas fait et le service est opérationnel.Est-il trop tard ?Non. La démarche d’<strong>homologation</strong> doit s’inscrire dans un processus itératif d’améliorationcontinue <strong>de</strong> la sécurité. Il est préférable et plus efficace <strong>de</strong> la démarreravant les phases <strong>de</strong> développem<strong>en</strong>t et d’intégration, mais si le service est déjà opérationnel,les objectifs <strong>de</strong> l’<strong>homologation</strong> rest<strong>en</strong>t les mêmes.Le cont<strong>en</strong>u du dossier d’<strong>homologation</strong> sera légèrem<strong>en</strong>t différ<strong>en</strong>t et certaines mesures<strong>de</strong> sécurité ne pourront être mises <strong>en</strong> œuvre que lors <strong>de</strong>s prochaines évolutions dusystème.Si les risques i<strong>de</strong>ntifiés sont trop importants et que les mesures <strong>de</strong> sécurité sontimpossibles à mettre <strong>en</strong> œuvre, il faut <strong>en</strong>visager l’arrêt du service.12
2étape n°Quel type <strong>de</strong> démarche dois-jemettre <strong>en</strong> œuvre ?
QUEL TYPE DE DÉMARCHE DOIS-JE METTRE EN ŒUVRE ?Durant la <strong>de</strong>uxième étape, vous allez définir le niveau <strong>de</strong> profon<strong>de</strong>ur<strong>de</strong> la démarche d’<strong>homologation</strong>, afin que celle-ci soit adaptée aux <strong>en</strong>jeux<strong>de</strong> sécurité du système, d’une part, et aux capacités <strong>de</strong> votre organismeà la m<strong>en</strong>er, d’autre part.La démarche la plus adaptée à l’<strong>homologation</strong> du système doit être définie <strong>en</strong>fonction du contexte, du niveau <strong>de</strong> complexité et <strong>de</strong> criticité du système, duniveau <strong>de</strong> s<strong>en</strong>sibilité <strong>de</strong>s données hébergées et du niveau <strong>de</strong> maturité <strong>en</strong> matière<strong>de</strong> SSI <strong>de</strong> l’organisme qui met <strong>en</strong> œuvre l’<strong>homologation</strong>.1 . Autodiagnostiquer les besoins <strong>de</strong> sécurité dusystème et le niveau <strong>de</strong> maturité SSI <strong>de</strong> l’organismeDeux outils d’autodiagnostic vous sont proposés. Ils sont détaillés <strong>en</strong> annexe duprés<strong>en</strong>t docum<strong>en</strong>t.L’annexe 1 permet d’évaluer les besoins <strong>de</strong> sécurité du système d’informationà homologuer, <strong>en</strong> estimant la gravité <strong>de</strong>s conséqu<strong>en</strong>ces pot<strong>en</strong>tielles d’unedéfaillance du SI, la s<strong>en</strong>sibilité <strong>de</strong>s données, le <strong>de</strong>gré d’exposition aux m<strong>en</strong>aceset l’importance <strong>de</strong>s vulnérabilités pot<strong>en</strong>tielles du système.Un questionnaire simple et rapi<strong>de</strong> vous permet <strong>de</strong> déterminer si le besoin<strong>de</strong> sécurité du système est nul, faible, moy<strong>en</strong> ou fort.L’annexe 2 permet <strong>de</strong> déterminer le niveau <strong>de</strong> maturité SSI <strong>de</strong> l’organisme,c’est-à-dire le niveau <strong>de</strong> maîtrise et <strong>de</strong> rigueur atteint par l’organisme,dans la gestion <strong>de</strong> la sécurité <strong>de</strong>s systèmes d’information.Un questionnaire simple et rapi<strong>de</strong> vous permet <strong>de</strong> déterminer si la maturitéSSI <strong>de</strong> votre organisme est élém<strong>en</strong>taire, moy<strong>en</strong>ne ou avancée.14
QUEL TYPE DE DÉMARCHE DOIS-JE METTRE EN ŒUVRE ?2 . En déduire la démarche appropriéeEn fonction <strong>de</strong>s résultats <strong>de</strong> l’autodiagnostic <strong>de</strong>s besoins <strong>de</strong> sécurité et du niveau<strong>de</strong> maturité, vous pouvez déterminer, à l’ai<strong>de</strong> du tableau infra, le type <strong>de</strong>démarche d’<strong>homologation</strong> à mettre <strong>en</strong> œuvre dans le cadre <strong>de</strong> votre projet.Les autodiagnostics doiv<strong>en</strong>t être réalisés avec sérieux et objectivité.L’adoption d’une démarche inadaptée aux <strong>en</strong>jeux ou aux capacités <strong>de</strong> l’organismehypothéquerait les chances <strong>de</strong> réussite du projet d’<strong>homologation</strong>.Les démarches possibles sont les suivantes :••Pianissimo : démarche autonome a minima, que l’autorité d’<strong>homologation</strong>peut m<strong>en</strong>er sans recours à une assistance conseil externe, par l’application<strong>de</strong>s outils et <strong>de</strong>s indications donnés dans le prés<strong>en</strong>t <strong>gui<strong>de</strong></strong>.••Mezzo-Piano : démarche autonome approfondie, que l’autorité d’<strong>homologation</strong>peut m<strong>en</strong>er sans recours à une assistance conseil externe, parl’application <strong>de</strong>s outils et <strong>de</strong>s indications donnés dans le prés<strong>en</strong>t <strong>gui<strong>de</strong></strong> etses ressources internes.••Mezzo-Forte : démarche assistée approfondie, que l’autorité d’<strong>homologation</strong>mène avec l’ai<strong>de</strong> d’une assistance conseil externe, <strong>en</strong> plus <strong>de</strong>s outilset <strong>de</strong>s indications données dans le prés<strong>en</strong>t <strong>gui<strong>de</strong></strong>.• • Forte : le niveau <strong>de</strong> maturité <strong>de</strong> l’organisme <strong>en</strong> matière <strong>de</strong> sécurité <strong>de</strong>ssystèmes d’information disp<strong>en</strong>se l’autorité d’<strong>homologation</strong> <strong>de</strong> la lecturedu prés<strong>en</strong>t <strong>gui<strong>de</strong></strong> qui apporte <strong>de</strong>s outils qu’elle maîtrise déjà. Cette démarch<strong>en</strong>’est donc pas traitée dans ce <strong>gui<strong>de</strong></strong>.15
QUEL TYPE DE DÉMARCHE DOIS-JE METTRE EN ŒUVRE ?Besoin <strong>de</strong> sécurité du SystèmeFaible Moy<strong>en</strong> Fortélém<strong>en</strong>tairePianissimo :démarcheautonomea minimaMezzo-Forte :démarcheassistéeapprofondieMezzo-Forte :démarcheassistéeapprofondieNiveau SSI<strong>de</strong> l’organismemoy<strong>en</strong>Pianissimo :démarcheautonomea minimaMezzo-Piano :démarcheautonomeapprofondieMezzo-Forte :démarcheassistéeapprofondieavancéPianissimo :démarcheautonomea minimaForte :hors champ<strong>de</strong> ce <strong>gui<strong>de</strong></strong>Forte :hors champ<strong>de</strong> ce <strong>gui<strong>de</strong></strong>16
3étape n°Qui contribue à la démarche ?
QUI CONTRIBUE À LA DÉMARCHE ?Durant la troisième étape, vous allez i<strong>de</strong>ntifier l’<strong>en</strong>semble <strong>de</strong>s acteurs<strong>de</strong> l’<strong>homologation</strong> et bi<strong>en</strong> définir leur rôle (décision, assistance ouexpertise technique notamm<strong>en</strong>t).Une <strong>homologation</strong> s’appuie sur plusieurs acteurs distincts auxquels sont associésdiffér<strong>en</strong>ts rôles et niveaux <strong>de</strong> responsabilité.1 . L’autorité d’<strong>homologation</strong> (AH)L’autorité d’<strong>homologation</strong> est la personne physique qui, après instruction dudossier d’<strong>homologation</strong>, prononce l’<strong>homologation</strong> <strong>de</strong> sécurité du système d’information,c’est-à-dire pr<strong>en</strong>d la décision d’accepter les risques résiduels i<strong>de</strong>ntifiéssur le système.L’autorité d’<strong>homologation</strong> doit être désignée à un niveau hiérarchique suffisantpour assumer toutes les responsabilités. Il est donc nécessaire que l’autoritéd’<strong>homologation</strong> se situe à un niveau <strong>de</strong> direction dans l’organisme.L’autorité d’<strong>homologation</strong> désigne un responsable du processus d’<strong>homologation</strong>,qui mènera le projet d’<strong>homologation</strong> <strong>en</strong> son nom.Lorsque cela est nécessaire, elle peut rédiger une lettre <strong>de</strong> mission à l’att<strong>en</strong>tion<strong>de</strong> la personne chargée d’organiser les tâches du processus d’<strong>homologation</strong>,<strong>en</strong> lui indiquant <strong>de</strong> quelle manière la synthèse <strong>de</strong>s résultats <strong>de</strong> chaqueétape <strong>de</strong> la démarche d’<strong>homologation</strong> lui sera communiquée.Lorsque le système est sous la responsabilité <strong>de</strong> plusieurs autorités, l’autoritéd’<strong>homologation</strong> est désignée conjointem<strong>en</strong>t par les autorités concernées2 . La commission d’<strong>homologation</strong>La commission d’<strong>homologation</strong> assiste l’autorité d’<strong>homologation</strong> pour l’instruction<strong>de</strong> l’<strong>homologation</strong> et est chargée <strong>de</strong> préparer la décision d’<strong>homologation</strong>.La taille et la composition <strong>de</strong> cette commission doiv<strong>en</strong>t être adaptées à18
QUI CONTRIBUE À LA DÉMARCHE ?la nature du système et proportionnées à ses <strong>en</strong>jeux. Cette commission, réunitles responsables métier concernés par le service à homologuer et <strong>de</strong>s expertstechniques. Elle peut donc être <strong>de</strong> taille très réduite dans <strong>de</strong>s cas très simples.La commission d’<strong>homologation</strong> est chargée du suivi <strong>de</strong>s plannings, <strong>de</strong>l’analyse <strong>de</strong> l’<strong>en</strong>semble <strong>de</strong>s docum<strong>en</strong>ts versés au dossier d’<strong>homologation</strong>. Ellese prononce sur la pertin<strong>en</strong>ce <strong>de</strong>s livrables et peut les vali<strong>de</strong>r dans certains cas.3 . Les acteurs <strong>de</strong> l’<strong>homologation</strong>La maîtrise d’ouvrageLa maîtrise d’ouvrage représ<strong>en</strong>te les acteurs métier et assure la bonne prise <strong>en</strong>compte <strong>de</strong>s contraintes liées à l’utilisation du système d’information. Elle joueun rôle-clé dans plusieurs étapes <strong>de</strong> la maîtrise <strong>de</strong>s risques, y compris dans lesarbitrages sur le traitem<strong>en</strong>t <strong>de</strong>s risques.Le RSSILorsque l’<strong>en</strong>tité dispose d’un responsable <strong>de</strong> la sécurité <strong>de</strong>s systèmes d’information,celui-ci est impliqué dans la démarche d’<strong>homologation</strong>. Selon les cas,il peut être désigné responsable du processus d’<strong>homologation</strong>, chargé du secrétariat<strong>de</strong> la commission d’<strong>homologation</strong> ou être membre <strong>de</strong> droit <strong>de</strong> cette commission.Le responsable d’exploitation du systèmeLe responsable d’exploitation du système, ou autorité d’emploi, remplit le rôleopérationnel. Il s’agit <strong>de</strong> l’<strong>en</strong>tité exploitant le système d’information <strong>de</strong>stiné àêtre homologué.Les prestatairesEn fonction <strong>de</strong> leur statut (interne ou externe), <strong>de</strong> leur implication dans le projetet <strong>de</strong> leurs relations avec l’autorité d’<strong>homologation</strong>, les prestataires peuv<strong>en</strong>t êtreintégrés dans la commission d’<strong>homologation</strong>, ou simplem<strong>en</strong>t consultés <strong>en</strong> cas<strong>de</strong> besoin.19
QUI CONTRIBUE À LA DÉMARCHE ?Ils rempliss<strong>en</strong>t un rôle d’assistance et produis<strong>en</strong>t <strong>de</strong>s livrables qui seront versésau dossier d’<strong>homologation</strong> ainsi que <strong>de</strong>s réponses aux interrogations <strong>de</strong> la commissiond’<strong>homologation</strong>.Les systèmes interconnectésLes autorités d’<strong>homologation</strong> <strong>de</strong>s systèmes interconnectés au système concernépeuv<strong>en</strong>t jouer un rôle dans l’<strong>homologation</strong> et être associés à la démarche lorsque :••le système à homologuer a un impact sur leurs propres systèmes ;••ils émett<strong>en</strong>t <strong>de</strong>s avis ou <strong>de</strong>s certificats qui peuv<strong>en</strong>t concerner le système.Les questions qui se pos<strong>en</strong>t à la troisième étapeQui doit être désigné autorité d’<strong>homologation</strong> ?L’autorité d’<strong>homologation</strong> doit être choisie au niveau hiérarchique suffisant pourassumer toutes les responsabilités, y compris év<strong>en</strong>tuellem<strong>en</strong>t pénale, affér<strong>en</strong>tes àcette décision d’<strong>homologation</strong>.L’autorité d’<strong>homologation</strong> doit-elle être unique ?C’est très largem<strong>en</strong>t préférable, car il s’agit d’une prise <strong>de</strong> responsabilité individuelle.Lorsque le système est sous la responsabilité <strong>de</strong> plusieurs autorités qualifiées, uneautorité d’<strong>homologation</strong> multiple peut toutefois être <strong>en</strong>visagée, mais le partage <strong>de</strong>sresponsabilités doit <strong>de</strong>meurer absolum<strong>en</strong>t limpi<strong>de</strong>.L’autorité d’<strong>homologation</strong> peut-elle être déléguée ?Parfois, une autorité d’<strong>homologation</strong> est désignée pour un système complexe ou<strong>en</strong>semble <strong>de</strong> systèmes. Dans certains cas, elle souhaite déléguer la prise <strong>de</strong> décision20
QUI CONTRIBUE À LA DÉMARCHE ?pour un système particulier ou un sous-système. C’est possible, mais avec beaucoup<strong>de</strong> précautions et dès le début du projet :••la délégation doit être donnée <strong>en</strong> accord avec l’autorité qui a désigné l’autoritéd’<strong>homologation</strong> initiale ;••l’autorité d’<strong>homologation</strong> doit rester à un niveau hiérarchique suffisant pourassumer toutes les responsabilités qui lui incomb<strong>en</strong>t ;••il ne doit pas exister <strong>de</strong> mélange <strong>de</strong>s g<strong>en</strong>res et l’autorité d’<strong>homologation</strong> doitgar<strong>de</strong>r l’objectivité nécessaire ;••le délégataire doit conserver une vue sur les systèmes déployés, les programmes<strong>en</strong> cours et les travaux <strong>de</strong> mainti<strong>en</strong> <strong>en</strong> condition <strong>de</strong> sécurité.Au sein d’un organisme, les membres <strong>de</strong> la commission d’<strong>homologation</strong>sont-ils désignés une fois pour toutes ?Cela dép<strong>en</strong>d beaucoup du nombre et <strong>de</strong> la nature <strong>de</strong>s systèmes d’information àhomologuer au sein <strong>de</strong> l’organisme. La composition <strong>de</strong> la commission d’<strong>homologation</strong>peut être définie :••par projet, s’ils sont différ<strong>en</strong>ts les uns <strong>de</strong>s autres ;••pour l’<strong>en</strong>semble <strong>de</strong>s projets <strong>de</strong> la direction, s’ils sont similaires les uns auxautres ;• • <strong>de</strong> manière mixte avec un noyau stable et <strong>de</strong>s interv<strong>en</strong>ants spécifiques auprojet.21
4étape n°Comm<strong>en</strong>t s’organise-t-onpour recueillir et prés<strong>en</strong>terles informations ?
COMMENT S’ORGANISE-T-ON POUR RECUEILLIR ET PRÉSENTER LES INFORMATIONS ?Durant la quatrième étape, vous allez inv<strong>en</strong>torier le cont<strong>en</strong>u du dossierd’<strong>homologation</strong> et définir le planning <strong>de</strong> la démarche qui permettra<strong>de</strong> le constituer et <strong>de</strong> l’instruire.1 . Le cont<strong>en</strong>u du dossier d’<strong>homologation</strong>Le dossier d’<strong>homologation</strong> est alim<strong>en</strong>té p<strong>en</strong>dant toutes les phases <strong>de</strong> la démarche,ess<strong>en</strong>tiellem<strong>en</strong>t avec <strong>de</strong>s docum<strong>en</strong>ts nécessaires à la conception, à laréalisation, à la validation du projet ou à la maint<strong>en</strong>ance du SI après sa mise <strong>en</strong>service, ainsi que <strong>de</strong>s docum<strong>en</strong>ts produits spécifiquem<strong>en</strong>t pour l’<strong>homologation</strong>.L’annexe 3 propose une liste complète <strong>de</strong>s docum<strong>en</strong>ts qui peuv<strong>en</strong>t être intégrésdans un dossier d’<strong>homologation</strong>.Le cont<strong>en</strong>u du dossier pourra varier selon la démarche choisie. Le tableauci-<strong>de</strong>ssous synthétise les élém<strong>en</strong>ts constitutifs du dossier d’<strong>homologation</strong> <strong>en</strong>fonction <strong>de</strong> la démarche adoptée. L’annexe 3 établit la liste plus complète <strong>de</strong>sdocum<strong>en</strong>ts pouvant être cont<strong>en</strong>us dans un dossier d’<strong>homologation</strong> et <strong>en</strong> proposeune <strong>de</strong>scription détaillée.Pianissimo Mezzo-Piano Mezzo ForteStratégie d’<strong>homologation</strong>Référ<strong>en</strong>tiel <strong>de</strong> sécuritéIndisp<strong>en</strong>sableSi existantDocum<strong>en</strong>t prés<strong>en</strong>tant lesrisques i<strong>de</strong>ntifiés etles objectifs <strong>de</strong> sécuritéIndisp<strong>en</strong>sablePolitique <strong>de</strong> sécurité <strong>de</strong>ssystèmes d’informationRecommandéFortem<strong>en</strong>t recommandéProcédures d’exploitationsécurisée du systèmeIndisp<strong>en</strong>sable24
COMMENT S’ORGANISE-T-ON POUR RECUEILLIR ET PRÉSENTER LES INFORMATIONS ?Journal <strong>de</strong> bord<strong>de</strong> l’<strong>homologation</strong>RecommandéFortem<strong>en</strong>t recommandéCertificats <strong>de</strong> qualification <strong>de</strong>sproduits ou prestatairesSi existantRésultats d’audits Si existant RecommandéFortem<strong>en</strong>trecommandéListe <strong>de</strong>s risques résiduelsDécision d’<strong>homologation</strong>Indisp<strong>en</strong>sableIndisp<strong>en</strong>sableSpécifiquem<strong>en</strong>t pour les systèmes déjà <strong>en</strong> service :Tableau <strong>de</strong> bord <strong>de</strong>s inci<strong>de</strong>ntset <strong>de</strong> leur résolutionRecommandéFortem<strong>en</strong>trecommandéIndisp<strong>en</strong>sableRésultats d’auditsintermédiairesSi existantRecommandéJournal <strong>de</strong>s évolutionsdu systèmeSi existantDémarche Pianissimo :Tous les docum<strong>en</strong>ts décrivant les procédures <strong>de</strong> sécurité <strong>en</strong> vigueur au sein <strong>de</strong>l’organisme peuv<strong>en</strong>t être intégrés au dossier, par exemple :••la charte d’utilisation <strong>de</strong>s postes informatiques ;••les règles <strong>de</strong> contrôle d’accès physique et logique au système ;••les clauses <strong>de</strong> sécurité <strong>de</strong>s contrats <strong>de</strong> sous-traitance informatique.Démarche Mezzo-Piano et Mezzo Forte :Les docum<strong>en</strong>ts constitutifs du référ<strong>en</strong>tiel <strong>de</strong> sécurité <strong>de</strong> l’organisme peuv<strong>en</strong>têtre intégrés au dossier. En particulier :••la politique <strong>de</strong> sécurité <strong>de</strong>s systèmes d’information (PSSI) <strong>de</strong> l’organisme ;25
COMMENT S’ORGANISE-T-ON POUR RECUEILLIR ET PRÉSENTER LES INFORMATIONS ?••la législation ou la réglem<strong>en</strong>tation particulière au contexte <strong>de</strong> l’organisme ;••le dossier <strong>de</strong> sécurité <strong>de</strong>s systèmes interconnectés au système à homologuer.La PSSI, quand elle existe, est un docum<strong>en</strong>t <strong>de</strong> référ<strong>en</strong>ce pour l’<strong>homologation</strong>,car elle conti<strong>en</strong>t <strong>de</strong>s élém<strong>en</strong>ts stratégiques (périmètre du système, principauxbesoins <strong>de</strong> sécurité et origine <strong>de</strong>s m<strong>en</strong>aces), ainsi que les règles <strong>en</strong> vigueur ausein <strong>de</strong> l’organisme.L’<strong>homologation</strong> peut aussi être l’occasion <strong>de</strong> compléter (ou <strong>de</strong> rédiger) laPSSI, par exemple pour généraliser <strong>de</strong>s règles indisp<strong>en</strong>sables au SI homologué.2 . PlanningL’<strong>homologation</strong> doit être prononcée préalablem<strong>en</strong>t à la mise <strong>en</strong> service opérationnelledu système d’information.La démarche visant à l’<strong>homologation</strong> doit donc être lancée <strong>en</strong> amont puisêtre totalem<strong>en</strong>t intégrée au projet dès les phases d’étu<strong>de</strong> préalable et <strong>de</strong> conception,afin d’éviter tout risque cal<strong>en</strong>daire.Le cal<strong>en</strong>drier <strong>de</strong> l’<strong>homologation</strong> est directem<strong>en</strong>t dép<strong>en</strong>dant du cal<strong>en</strong>drierdu projet dont il doit t<strong>en</strong>ir compte <strong>en</strong> perman<strong>en</strong>ce. Les principales étapes <strong>de</strong>l’<strong>homologation</strong> sont fixées dans la stratégie d’<strong>homologation</strong>.Il est indisp<strong>en</strong>sable <strong>de</strong> déterminer les tâches <strong>de</strong> chacun <strong>de</strong>s acteurs <strong>de</strong>l’<strong>homologation</strong> et les formaliser dans un planning associé, repr<strong>en</strong>ant les principalesétapes. Au besoin, <strong>en</strong> fonction <strong>de</strong> l’évolution du projet, ces échéancespeuv<strong>en</strong>t être révisées, avec l’accord <strong>de</strong> l’autorité d’<strong>homologation</strong>.Ainsi, une <strong>homologation</strong> est rythmée par <strong>de</strong>ux temps forts :• • la construction du référ<strong>en</strong>tiel docum<strong>en</strong>taire et l’analyse <strong>de</strong> risque (dont lamise <strong>en</strong> œuvre peut être longue) ;• • le déploiem<strong>en</strong>t, l’audit, l’<strong>homologation</strong> et la mise <strong>en</strong> service opérationnel(a contrario, il s’agit d’une étape courte et très rapi<strong>de</strong>).26
COMMENT S’ORGANISE-T-ON POUR RECUEILLIR ET PRÉSENTER LES INFORMATIONS ?Les échéances prévues pour les différ<strong>en</strong>tes étapes <strong>de</strong> la démarche d’<strong>homologation</strong>doiv<strong>en</strong>t figurer dans le planning :1. lancem<strong>en</strong>t <strong>de</strong> la procédure d’<strong>homologation</strong> (par exemple date <strong>de</strong> formalisation<strong>de</strong> la stratégie d’<strong>homologation</strong>) ;2. début et <strong>de</strong> fin <strong>de</strong> l’analyse <strong>de</strong>s risques (dates <strong>de</strong>s <strong>en</strong>treti<strong>en</strong>s avec l’autorité) ;3. remise <strong>de</strong>s différ<strong>en</strong>ts docum<strong>en</strong>ts du dossier d’<strong>homologation</strong> (cf. sectionsuivante) ;4. <strong>en</strong>gagem<strong>en</strong>ts liés à d’év<strong>en</strong>tuels contrats avec <strong>de</strong>s prestataires impliquésdans le système (hébergeurs, fournisseurs <strong>de</strong> sous-systèmes, d’applications…);5. réunions <strong>de</strong> la commission d’<strong>homologation</strong> ;6. audits év<strong>en</strong>tuels sur les composants du système (techniques ou organisationnels),logiciels plates-formes matérielles, interfaces réseaux ;7. <strong>homologation</strong> du système ;8. mise <strong>en</strong> service du système.Les questions qui se pos<strong>en</strong>t à la quatrième étapeUn audit sera-t-il nécessaire au cours <strong>de</strong> la démarche d’<strong>homologation</strong> ?Un contrôle sera systématiquem<strong>en</strong>t effectué à la sixième étape, mais ce contrôl<strong>en</strong>e pr<strong>en</strong>dra la forme d’un audit technique formel que si les <strong>en</strong>jeux <strong>de</strong> sécurité lejustifi<strong>en</strong>t.Quelle que soit la démarche adoptée, c’est à l’autorité d’<strong>homologation</strong> <strong>de</strong>déci<strong>de</strong>r s’il est nécessaire d’effectuer un audit sur le système d’information, et àquel niveau. Cet audit permettra <strong>de</strong> mettre <strong>en</strong> évi<strong>de</strong>nce d’év<strong>en</strong>tuelles failles sur lesystème, et d’i<strong>de</strong>ntifier rapi<strong>de</strong>m<strong>en</strong>t les risques <strong>en</strong>courus par l’organisme <strong>en</strong> conséqu<strong>en</strong>ce.27
5étape n°Quels sont les risquespesant sur le système ?
QUELS SONT LES RISQUES PESANT SUR LE SYSTÈME ?Durant la cinquième étape, vous allez i<strong>de</strong>ntifier et ordonner lesrisques qui pès<strong>en</strong>t sur le système d’information à homologuer.1 . L’analyse <strong>de</strong> risqueUn risque est la combinaison d’un événem<strong>en</strong>t redouté (susceptible d’avoir unimpact négatif sur la mission <strong>de</strong> l’<strong>en</strong>tité) et d’un scénario <strong>de</strong> m<strong>en</strong>aces. On mesurele niveau du risque <strong>en</strong> fonction <strong>de</strong> sa gravité (hauteur <strong>de</strong>s impacts) et <strong>de</strong> savraisemblance (possibilité qu’il se réalise).Il s’agit d’i<strong>de</strong>ntifier les risques pesant sur la sécurité <strong>de</strong>s systèmes d’information,<strong>de</strong> les hiérarchiser et <strong>de</strong> déterminer <strong>de</strong>s objectifs généraux qui permettront<strong>de</strong> diminuer certains d’<strong>en</strong>tre eux et, à terme, <strong>de</strong> les am<strong>en</strong>er à un niveauacceptable.La durée et le coût <strong>de</strong> la réalisation d’une analyse <strong>de</strong> risques sont fonction<strong>de</strong> la complexité du système d’information et <strong>de</strong> la s<strong>en</strong>sibilité <strong>de</strong>s données(données propres ou données <strong>de</strong> tiers, telles que celles <strong>de</strong>s usagers ou <strong>de</strong>s part<strong>en</strong>aires).L’analyse <strong>de</strong>s risques pesant sur le système peut être simplifiée dans lecadre d’une démarche Pianissimo. Dans le cas d’une démarche Mezzo-Pianoou Mezzo-Forte, on privilégiera l’utilisation d’une métho<strong>de</strong> éprouvée d’analyse<strong>de</strong> risque.Démarche PianissimoLe tableau d’autodiagnostic <strong>de</strong> l’annexe 1 vous a permis d’i<strong>de</strong>ntifier, lors <strong>de</strong> la<strong>de</strong>uxième étape, que les <strong>en</strong>jeux <strong>de</strong> sécurité du système d’information étai<strong>en</strong>tlimités et que les besoins <strong>de</strong> sécurité étai<strong>en</strong>t faibles.Pour une analyse <strong>de</strong> risque simplifiée, vous pouvez alors procé<strong>de</strong>r <strong>de</strong> la manièresuivante :1. Partez <strong>de</strong> la liste <strong>de</strong>s m<strong>en</strong>aces courantes prés<strong>en</strong>te dans l’annexe 4. Cesm<strong>en</strong>aces sont d’ordre volontaire ou acci<strong>de</strong>ntel (inondation, panne <strong>de</strong> climatisation<strong>en</strong>traînant une panne <strong>de</strong>s équipem<strong>en</strong>ts informatiques, erreur<strong>de</strong> saisie), <strong>de</strong> nature physique (intrusion sur le système) ou logique (intru-30
QUELS SONT LES RISQUES PESANT SUR LE SYSTÈME ?sion réseau, défiguration <strong>de</strong> site, etc.).2. Écartez celles qui ne sont pas pertin<strong>en</strong>tes dans le contexte du systèmed’information étudié ;3. Pour chaque m<strong>en</strong>ace conservée, déterminez un ou plusieurs bi<strong>en</strong>s ess<strong>en</strong>tielsqui pourrai<strong>en</strong>t être affectés. Les bi<strong>en</strong>s ess<strong>en</strong>tiels sont les informationstraitées au sein du système, ainsi que leurs processus <strong>de</strong> traitem<strong>en</strong>t. Ilsconstitu<strong>en</strong>t la valeur ajoutée du système d’information pour l’organisme.4. Pour chaque li<strong>en</strong> i<strong>de</strong>ntifié <strong>en</strong>tre une m<strong>en</strong>ace et un bi<strong>en</strong> ess<strong>en</strong>tiel, décrivezl’impact négatif sur la disponibilité, l’intégrité ou la confi<strong>de</strong>ntialité <strong>de</strong> cebi<strong>en</strong> ess<strong>en</strong>tiel. Vous obt<strong>en</strong>ez un scénario <strong>de</strong> risque.5. Hiérarchisez les scénarios <strong>de</strong> risque obt<strong>en</strong>us, <strong>en</strong> i<strong>de</strong>ntifiant les plus probableset ceux dont l’impact est le plus pénalisant.6. Si un scénario <strong>de</strong> risque plausible aboutit à un impact très fort, cela signifieque le besoin <strong>de</strong> sécurité évalué lors <strong>de</strong> la <strong>de</strong>uxième étape a été sous-évalué.Envisagez alors une démarche plus complète, <strong>de</strong> type Mezzo-Pianoou Mezzo Forte.Démarche Mezzo-Piano ou Mezzo-forteDans le cadre <strong>de</strong> la mise <strong>en</strong> œuvre d’une démarche Mezzo-Piano ou Mezzo-Forte, la mise <strong>en</strong> œuvre d’une métho<strong>de</strong> d’analyse <strong>de</strong> risque éprouvée est trèsfortem<strong>en</strong>t recommandée. La métho<strong>de</strong> EBIOS 2010 est une métho<strong>de</strong> d’analyse<strong>de</strong> risque développée par l’ANSSI.La métho<strong>de</strong> EBIOS 2010 prés<strong>en</strong>te les risques et les objectifs <strong>de</strong> sécuritéi<strong>de</strong>ntifiés dans une Fiche d’Expression Rationnelle <strong>de</strong>s Objectifs <strong>de</strong> Sécurité(FEROS).Dans le cadre d’une démarche Mezzo-Piano, l’analyse est effectuée parl’autorité d’<strong>homologation</strong>, avec ou sans l’assistance d’un consultant ayant uneexpéri<strong>en</strong>ce confirmée <strong>de</strong> la métho<strong>de</strong>. Elle nécessite la participation <strong>de</strong>s acteursclés du système à homologuer, qui sont interrogés sur leurs besoins, leurcontexte d’emploi du système et les événem<strong>en</strong>ts qu’ils redout<strong>en</strong>t. C’est la direction<strong>de</strong> l’<strong>en</strong>treprise ou l’autorité administrative, par exemple, qui fourniss<strong>en</strong>t lesinformations sur les besoins <strong>de</strong> disponibilité ou <strong>de</strong> confi<strong>de</strong>ntialité du système,ce qui permet d’i<strong>de</strong>ntifier les objectifs <strong>de</strong> sécurité du système.31
QUELS SONT LES RISQUES PESANT SUR LE SYSTÈME ?Pour la démarche Mezzo-Piano, le résultat <strong>de</strong> l’analyse (la FEROS) peut <strong>en</strong>suiteconstituer un élém<strong>en</strong>t du cahier <strong>de</strong>s clauses techniques particulières d’unappel d’offres pour la réalisation ou la mise <strong>en</strong> conformité du système à homologuer.Les soumissionnaires doiv<strong>en</strong>t y répondre <strong>en</strong> indiquant <strong>de</strong> quelle manièreils propos<strong>en</strong>t d’atteindre les objectifs <strong>de</strong> sécurité i<strong>de</strong>ntifiés par l’autorité d’<strong>homologation</strong>.2 . I<strong>de</strong>ntifier les mesures <strong>de</strong> sécuritéÀ l’issue <strong>de</strong> l’analyse <strong>de</strong> risque, il convi<strong>en</strong>t <strong>de</strong> définir les mesures <strong>de</strong> sécuritépermettant <strong>de</strong> couvrir les risques i<strong>de</strong>ntifiés. Ceux qui <strong>de</strong>meur<strong>en</strong>t après l’application<strong>de</strong>s mesures sont considérés comme <strong>de</strong>s risques résiduels qui doiv<strong>en</strong>t êtreacceptés dans le cadre <strong>de</strong> l’<strong>homologation</strong>.Démarche PianissimoPour déterminer les mécanismes <strong>de</strong> sécurité à mettre <strong>en</strong> œuvre, vous pouvezégalem<strong>en</strong>t vous référer à plusieurs docum<strong>en</strong>ts publiés par l’ANSSI (surhttp://www.ssi.gouv.fr) :••le <strong>gui<strong>de</strong></strong> <strong>de</strong>s 40 règles d’hygiène informatique ;••le <strong>gui<strong>de</strong></strong> d’externalisation pour les systèmes d’information ;••le <strong>gui<strong>de</strong></strong> sur la virtualisation ;••les notes techniques, notamm<strong>en</strong>t celle sur la sécurité web.Démarche Mezzo-Piano et Mezzo-ForteDans le cadre d’une démarche Mezzo-Piano et Mezzo Forte, les objectifs <strong>de</strong>sécurité i<strong>de</strong>ntifiés au cours <strong>de</strong> l’analyse <strong>de</strong> risque selon la métho<strong>de</strong> EBIOS permettront<strong>de</strong> définir les mesures <strong>de</strong> sécurité <strong>de</strong>stinées à couvrir les risques considéréscomme inacceptables.Outre les docum<strong>en</strong>ts prés<strong>en</strong>tés dans le paragraphe précé<strong>de</strong>nt, <strong>de</strong> nombreuxréfér<strong>en</strong>tiels <strong>de</strong> sécurité propos<strong>en</strong>t <strong>de</strong>s catalogues <strong>de</strong> mesures.32
6étape n°La réalité correspond-elle à l’analyse ?
LA RÉALITÉ CORRESPOND-ELLE À L’ANALYSE ?Durant la sixième étape, vous <strong>de</strong>vez mesurer l’écart <strong>en</strong>tre les résultats <strong>de</strong> l’étu<strong>de</strong><strong>de</strong> risque et la réalité, <strong>en</strong> réalisant un contrôle plus ou moins formalisé du système.Ce contrôle peut interv<strong>en</strong>ir à tout mom<strong>en</strong>t du cycle <strong>de</strong> vie du système : <strong>en</strong>amont, avant la mise <strong>en</strong> service voir au cours <strong>de</strong> la conception, mais égalem<strong>en</strong>t<strong>en</strong> aval, si le système est déjà opérationnel.Le <strong>de</strong>gré <strong>de</strong> formalisation du contrôle dép<strong>en</strong>d <strong>de</strong> la démarche <strong>en</strong>treprise.Vous avez déterminé lors <strong>de</strong> la quatrième étape quel type d’audit était adapté.Certains systèmes n’appell<strong>en</strong>t qu’une vérification peu formelle. En revanche, unaudit complet et indép<strong>en</strong>dant se justifie dans le cas <strong>de</strong> systèmes à fort <strong>en</strong>jeu <strong>de</strong>sécurité.1 . Réalisation du contrôleDémarche PianissimoPour la démarche Pianissimo, un audit technique est optionnel.Démarche PianoPour la démarche Piano, il est recommandé <strong>de</strong> procé<strong>de</strong>r à un audit formalisé surles segm<strong>en</strong>ts les moins maîtrisés du système.Démarche Mezzo-fortePour la démarche Mezzo-Forte, il est fortem<strong>en</strong>t recommandé d’effectuer unaudit technique du système d’information. Cet audit permettra <strong>de</strong> mettre <strong>en</strong>évi<strong>de</strong>nce d’év<strong>en</strong>tuelles failles et d’i<strong>de</strong>ntifier rapi<strong>de</strong>m<strong>en</strong>t les risques <strong>en</strong>courus parl’organisme.Les audits doiv<strong>en</strong>t être m<strong>en</strong>és dans les formes prévues par le référ<strong>en</strong>tield’exig<strong>en</strong>ces relatif aux prestataires d’audit <strong>de</strong> la sécurité <strong>de</strong>s systèmes d’information,disponible sur le site <strong>de</strong> l’ANSSI .34
LA RÉALITÉ CORRESPOND-ELLE À L’ANALYSE ?2 . Définition du périmètre du contrôleLe contrôle effectué, qui peut pr<strong>en</strong>dre la forme d’un audit formalisé, porte surun système dont le périmètre doit être soigneusem<strong>en</strong>t délimité par l’autoritéd’<strong>homologation</strong>. Les élém<strong>en</strong>ts à contrôler peuv<strong>en</strong>t être <strong>de</strong> différ<strong>en</strong>te nature(co<strong>de</strong> source, configuration <strong>de</strong>s équipem<strong>en</strong>ts, architecture du système, organisationmise <strong>en</strong> place, etc.).Dans certains cas, <strong>de</strong>s tests d’intrusions peuv<strong>en</strong>t être effectués.3 . Conséqu<strong>en</strong>ces <strong>de</strong> l’audit sur le dossierd’<strong>homologation</strong>Le contrôle <strong>de</strong> sécurité doit faire l’objet d’une trace écrite. A fortiori, s’il s’agitd’un audit <strong>de</strong> sécurité, celui-ci doit faire l’objet d’un rapport, qui doit faire apparaître:••une évolution <strong>de</strong>s m<strong>en</strong>aces sur le système ;••la découverte év<strong>en</strong>tuelle <strong>de</strong> nouvelles vulnérabilités ;••la préconisation <strong>de</strong> mesures correctrices, le cas échéant.Le rapport d’audit est intégré au dossier d’<strong>homologation</strong>, qui doit être complété<strong>en</strong> t<strong>en</strong>ant compte <strong>de</strong>s nouveaux risques mis <strong>en</strong> lumière.35
7étape n°Quelles sont les mesures <strong>de</strong> sécuritésupplém<strong>en</strong>taires pour couvrirles risques ?
QUELLES SONT LES MESURES DE SÉCURITÉ SUPPLÉMENTAIRES POUR COUVRIR CES RISQUES ?Durant la septième étape, vous <strong>de</strong>vez définir un plan d’action pouram<strong>en</strong>er le risque i<strong>de</strong>ntifié à un niveau acceptable.1 . Le traitem<strong>en</strong>t du risqueAu vu <strong>de</strong>s résultats <strong>de</strong> l’analyse <strong>de</strong> risques et du contrôle <strong>de</strong> sécurité, l’autoritéd’<strong>homologation</strong> se prononce sur l’<strong>en</strong>semble <strong>de</strong>s risques qui ne sont pas, à cesta<strong>de</strong>, complètem<strong>en</strong>t couverts par <strong>de</strong>s mesures <strong>de</strong> sécurité. Il convi<strong>en</strong>t ainsi,pour tout ou partie <strong>de</strong> chaque risque <strong>de</strong> choisir parmi les options suivantes :••l’éviter : changer le contexte <strong>de</strong> telle sorte qu’on n’y soit plus exposé ;••le réduire : pr<strong>en</strong>dre <strong>de</strong>s mesures <strong>de</strong> sécurité pour diminuer l’impact et/oula vraisemblance ;••l’assumer : <strong>en</strong> supporter les conséqu<strong>en</strong>ces év<strong>en</strong>tuelles sans pr<strong>en</strong>dre <strong>de</strong>mesure <strong>de</strong> sécurité supplém<strong>en</strong>taire ;••le transférer : partager les pertes occasionnées par un sinistre ou faireassumer la responsabilité à un tiers.On peut choisir plusieurs options pour chaque risque. Par exemple, un risquepeut être partiellem<strong>en</strong>t réduit par la mise <strong>en</strong> œuvre <strong>de</strong> mesures <strong>de</strong> sécurité,partiellem<strong>en</strong>t transféré par le recours à une assurance et partiellem<strong>en</strong>t assumépour ce qui subsiste.2 . La mise <strong>en</strong> œuvre <strong>de</strong> mesures <strong>de</strong> sécuritéLes mesures <strong>de</strong> sécurité peuv<strong>en</strong>t être <strong>de</strong> nature technique, organisationnelle oujuridique. Elles sont décidées par l’autorité d’<strong>homologation</strong> sur proposition <strong>de</strong>la commission d’<strong>homologation</strong>.En cas <strong>de</strong> recours à un prestataire externe (hébergem<strong>en</strong>t <strong>de</strong> site ou <strong>de</strong>services par exemple), les mesures <strong>de</strong> sécurité peuv<strong>en</strong>t être intégralem<strong>en</strong>t mises<strong>en</strong> œuvre à travers un contrat garantissant, par exemple, que les processus etles données sont protégés et accessibles uniquem<strong>en</strong>t aux utilisateurs légitimes.38
QUELLES SONT LES MESURES DE SÉCURITÉ SUPPLÉMENTAIRES POUR COUVRIR CES RISQUES ?3 . Définition du plan d’actionLes risques résiduels i<strong>de</strong>ntifiés lors du contrôle et <strong>de</strong> l’analyse <strong>de</strong> risques et quine peuv<strong>en</strong>t pas être couverts par <strong>de</strong>s mesures techniques ou organisationnellessont i<strong>de</strong>ntifiés dans un plan d’action. Ce <strong>de</strong>rnier indique les vulnérabilités év<strong>en</strong>tuelles,leur <strong>de</strong>gré (critique, majeure, mineure…), l’action correctrice <strong>en</strong>visagée,le pilote désigné, ainsi que l’échéance associée.39
8étape n°Comm<strong>en</strong>t réaliser la décisiond’<strong>homologation</strong> ?
COMMENT RÉALISER LA DÉCISION D’HOMOLOGATION ?Durant la huitième étape, vous <strong>de</strong>vez concrétiser la décision d’<strong>homologation</strong>par une attestation formelle autorisant, du point <strong>de</strong> vue <strong>de</strong> lasécurité, l’exploitation du système d’information.La décision d’<strong>homologation</strong> est l’acte par lequel le responsable <strong>de</strong> l’autoritéadministrative atteste <strong>de</strong> l’exist<strong>en</strong>ce d’une analyse <strong>de</strong> sécurité et <strong>de</strong> sa prise <strong>en</strong>compte. La décision d’<strong>homologation</strong> doit nécessairem<strong>en</strong>t compr<strong>en</strong>dre un certainnombre d’élém<strong>en</strong>ts, référ<strong>en</strong>cés ci-<strong>de</strong>ssous.1 . Le périmètre <strong>de</strong> l’<strong>homologation</strong>Il doit, au minimum, t<strong>en</strong>ir compte <strong>de</strong>s élém<strong>en</strong>ts suivants :••référ<strong>en</strong>tiel réglem<strong>en</strong>taire ;••référ<strong>en</strong>ces <strong>de</strong>s pièces du dossier d’<strong>homologation</strong> ;••périmètre géographique et physique (localisations géographiques, locaux,etc.) ;••périmètre fonctionnel et organisationnel (fonctionnalités, types d’informationstraitées par le système et s<strong>en</strong>sibilité, types d’utilisateurs, règlesd’emploi, procédures, conditions d’emploi <strong>de</strong>s produits <strong>de</strong> sécurité, etc.) ;••périmètre technique (cartographie, architecture détaillée du système, produitsagréés, prestataires qualifiés, etc.).2 . Les conditions accompagnant l’<strong>homologation</strong>L’autorité d’<strong>homologation</strong> peut, <strong>en</strong> fonction <strong>de</strong>s risques résiduels i<strong>de</strong>ntifiés, assortirl’<strong>homologation</strong> <strong>de</strong> conditions d’exploitation ainsi que d’un plan d’actionvisant à maint<strong>en</strong>ir et à améliorer le niveau <strong>de</strong> sécurité du système dans le temps.À chaque action, ce plan associe une personne pilote ainsi qu’une échéance.42
COMMENT RÉALISER LA DÉCISION D’HOMOLOGATION ?3 . La durée <strong>de</strong> l’<strong>homologation</strong>L’<strong>homologation</strong> doit être décidée pour une durée maximale.Cette durée doit pr<strong>en</strong>dre <strong>en</strong> compte l’exposition du système d’information auxnouvelles m<strong>en</strong>aces, ainsi que les <strong>en</strong>jeux <strong>de</strong> sécurité du système, c’est-à-dire le<strong>de</strong>gré <strong>de</strong> criticité <strong>de</strong>s informations et <strong>de</strong>s processus du système.Pour un système bi<strong>en</strong> maîtrisé, avec peu <strong>de</strong> risques résiduels et ne prés<strong>en</strong>tantpas <strong>de</strong> difficultés particulières, il est recommandé <strong>de</strong> prononcer une<strong>homologation</strong> d’une durée maximale <strong>de</strong> cinq (5) ans, avec revue annuelle. Cettedurée maximale doit être réduite à trois (3) ans pour un système avec <strong>de</strong> nombreuxrisques résiduels ou à un an (1) pour un système prés<strong>en</strong>tant <strong>de</strong> nombreuxrisques résiduels.4 . Conditions <strong>de</strong> susp<strong>en</strong>sion ou <strong>de</strong> retrait <strong>de</strong>l’<strong>homologation</strong>L’<strong>homologation</strong> <strong>de</strong> sécurité ne <strong>de</strong>meure vali<strong>de</strong> que tant que le système d’informationest exploité dans le contexte décrit dans le dossier d’<strong>homologation</strong>.Les changem<strong>en</strong>ts suivants doiv<strong>en</strong>t impliquer un réexam<strong>en</strong> du dossier, pouvantconduire à une nouvelle décision d’<strong>homologation</strong> ou à un retrait <strong>de</strong> la décision :••raccor<strong>de</strong>m<strong>en</strong>t d’un nouveau site sur le système d’information ;••ajout d’une fonctionnalité majeure ;••succession <strong>de</strong> modifications mineures ;••réduction <strong>de</strong> l’effectif affecté à une tâche impactant la sécurité ;••changem<strong>en</strong>t d’un ou <strong>de</strong> plusieurs prestataires ;••prise <strong>de</strong> fonction d’une nouvelle autorité d’<strong>homologation</strong> ;••non-respect d’au moins une <strong>de</strong>s conditions <strong>de</strong> l’<strong>homologation</strong> ;••changem<strong>en</strong>t du niveau <strong>de</strong> s<strong>en</strong>sibilité <strong>de</strong>s informations traitées et, plusgénéralem<strong>en</strong>t, du niveau du risque ;••évolution du statut <strong>de</strong> l’<strong>homologation</strong> <strong>de</strong>s systèmes interconnectés ;43
COMMENT RÉALISER LA DÉCISION D’HOMOLOGATION ?••publication d’inci<strong>de</strong>nts <strong>de</strong> nature à remettre <strong>en</strong> cause les garanties recueilliesdans le dossier <strong>de</strong> sécurité ;••décision <strong>de</strong> l’autorité d’<strong>homologation</strong>.À ce titre, il est recommandé que la commission d’<strong>homologation</strong> soit réunieannuellem<strong>en</strong>t par l’autorité d’<strong>homologation</strong>, afin <strong>de</strong> procé<strong>de</strong>r à une revue durespect <strong>de</strong>s conditions <strong>de</strong> l’<strong>homologation</strong>.Les questions qui se pos<strong>en</strong>t à la huitième étapeLa démarche d’<strong>homologation</strong> a mis <strong>en</strong> évi<strong>de</strong>nce que les risquesrésiduels rest<strong>en</strong>t trop élevés pour une <strong>homologation</strong>, mais <strong>de</strong>scontraintes d’ordre supérieur impos<strong>en</strong>t une mise <strong>en</strong> service opérationnelledu système. Comm<strong>en</strong>t faire ?Si l’autorité d’<strong>homologation</strong> considère que les conditions ne sont pas réunies pourune <strong>homologation</strong>, la meilleure solution est <strong>de</strong> refuser l’<strong>homologation</strong>. Si cette possibilitén’est pas <strong>en</strong>visageable, il est toujours possible <strong>de</strong> prononcer une autorisationprovisoire d’emploi (APE) pour une durée courte (3 ou 6 mois), assortie <strong>de</strong> conditionsstrictes et d’un plan d’action précis, <strong>de</strong>stiné à supprimer ces risques trop élevéset qui doit être réalisé durant le temps <strong>de</strong> l’APE.Certaines mesures <strong>de</strong> sécurité ne pourront être mises <strong>en</strong> place quedans <strong>de</strong>ux ans pour une <strong>homologation</strong> <strong>de</strong> 3 ans. Est-ce trop long ?Il est impératif <strong>de</strong> spécifier dans la décision d’<strong>homologation</strong> que la mise <strong>en</strong> place<strong>de</strong>s mesures est progressive, planifiée et suivie. Elle doit comm<strong>en</strong>cer dès la date <strong>de</strong>publication <strong>de</strong> la décision.44
9étape n°Qu’est-il prévu pour continuerd’améliorer la sécurité ?
QU’EST-IL PRÉVU POUR CONTINUER D’AMÉLIORER LA SÉCURITÉ ?Durant cette <strong>de</strong>rnière étape, qui intervi<strong>en</strong>t après la décision d’<strong>homologation</strong>proprem<strong>en</strong>t dite, vous <strong>de</strong>vez mettre <strong>en</strong> œuvre une procédure <strong>de</strong>révision périodique <strong>de</strong> l’<strong>homologation</strong>, ainsi que le plan d’action pourtraiter les risques résiduels et les nouveaux risques dans le cycle <strong>de</strong> vie dusystème.1 . Suivi <strong>de</strong> l’<strong>homologation</strong>À la suite <strong>de</strong> la décision proprem<strong>en</strong>t dite, l’autorité d’<strong>homologation</strong> doit veillerau mainti<strong>en</strong> du niveau <strong>de</strong> sécurité du système. La commission d’<strong>homologation</strong>réalise annuellem<strong>en</strong>t un suivi <strong>de</strong> l’<strong>homologation</strong>. Cette étape n’est pas une nouvelleinstruction. Elle doit donc rester simple et se limiter à une mise à jour dudossier et à une analyse succincte <strong>de</strong>s évolutions et <strong>de</strong>s inci<strong>de</strong>nts interv<strong>en</strong>us aucours <strong>de</strong> l’année, afin <strong>de</strong> juger <strong>de</strong> l’opportunité d’une révision plus approfondie<strong>de</strong> l’<strong>homologation</strong>.En préparation du r<strong>en</strong>ouvellem<strong>en</strong>t <strong>de</strong> l’<strong>homologation</strong>, le dossier d’<strong>homologation</strong>est régulièrem<strong>en</strong>t complété par les év<strong>en</strong>tuelles analyses <strong>de</strong> vulnérabilités,les comptes r<strong>en</strong>dus <strong>de</strong> contrôle et les rapports d’audits complém<strong>en</strong>taires.La version consolidée est transmise aux membres <strong>de</strong> la commission d’<strong>homologation</strong>Il est recommandé <strong>de</strong> réunir périodiquem<strong>en</strong>t la commission d’<strong>homologation</strong>pour repr<strong>en</strong>dre la liste <strong>de</strong>s critères et vérifier que les conditions d’<strong>homologation</strong>sont toujours respectées. Cela permet égalem<strong>en</strong>t d’éviter <strong>de</strong> repr<strong>en</strong>drel’<strong>homologation</strong> à zéro au terme <strong>de</strong> sa durée <strong>de</strong> validité.2 . Mainti<strong>en</strong> <strong>en</strong> conditions <strong>de</strong> sécuritéIl est nécessaire que les conditions <strong>de</strong> l’<strong>homologation</strong> soi<strong>en</strong>t respectées dans letemps. À ce titre, l’<strong>en</strong>tité <strong>en</strong> charge du mainti<strong>en</strong> du dossier d’<strong>homologation</strong> doitégalem<strong>en</strong>t assurer une veille technologique. Celle-ci permet d’i<strong>de</strong>ntifier les vul-46
QU’EST-IL PRÉVU POUR CONTINUER D’AMÉLIORER LA SÉCURITÉ ?nérabilités qui apparaîtrai<strong>en</strong>t sur le système et s’assurer qu’elles soi<strong>en</strong>t corrigées,notamm<strong>en</strong>t les plus sérieuses.Il est égalem<strong>en</strong>t nécessaire <strong>de</strong> vérifier :••les clauses <strong>de</strong> sécurité et <strong>de</strong> mainti<strong>en</strong> <strong>en</strong> conditions <strong>de</strong> sécurité du système,le cas échéant <strong>en</strong> se référant au <strong>gui<strong>de</strong></strong> d’externalisation publié par l’ANSSI ;••les capacités d’évolution et d’interopérabilité <strong>de</strong> son système, notamm<strong>en</strong>tau regard <strong>de</strong> ses capacités <strong>de</strong> développem<strong>en</strong>t ou <strong>de</strong> ses contrats <strong>de</strong> prestations<strong>de</strong> service.Les questions qui se pos<strong>en</strong>t à la neuvième étapeSi une nouvelle vulnérabilité est découverte, dois-je relancer leprocessus d’<strong>homologation</strong> ?Cela dép<strong>en</strong>d <strong>de</strong> l’impact <strong>de</strong> la vulnérabilité sur le système. S’il est fort, ilfaudrait effectivem<strong>en</strong>t relancer le processus d’<strong>homologation</strong> sans att<strong>en</strong>drel’issue <strong>de</strong> la durée d’<strong>homologation</strong> <strong>en</strong> cours.47
XXXXXCONSEILS PRATIQUESLa démarche d’<strong>homologation</strong> est un projet <strong>en</strong> soi, qui doit s’intégrer complètem<strong>en</strong>tau projet global et au cycle <strong>de</strong> vie du système d’information. C’est unedémarche qui peut se révéler complexe et qui se heurte parfois à <strong>de</strong>s difficultésorganisationnelles, techniques ou cal<strong>en</strong>daires. Les conseils cont<strong>en</strong>us dans cettefiche vous permettront d’aboutir plus facilem<strong>en</strong>t à un résultat satisfaisant.Conseils d’ordre généralLes conseils d’ordre général listés ci-<strong>de</strong>ssous doiv<strong>en</strong>t, dans la mesure du possible,être suivis pour maximiser les chances <strong>de</strong> réussite d’une démarched’<strong>homologation</strong> :••débuter suffisamm<strong>en</strong>t tôt la démarche d’<strong>homologation</strong> ;••prévoir une validation formelle <strong>de</strong>s décisions au niveau hiérarchiqueadéquat ;••désigner un véritable chef <strong>de</strong> projet, qui sera disponible tout au long duprojet ;••maîtriser le cal<strong>en</strong>drier et ne pas être trop contraint par <strong>de</strong>s nécessitésopérationnelles ;••bi<strong>en</strong> définir le périmètre et disposer d’une architecture précise du système ;••bi<strong>en</strong> pr<strong>en</strong>dre <strong>en</strong> compte les interconnexions év<strong>en</strong>tuelles ;••s’appuyer sur <strong>de</strong>s docum<strong>en</strong>ts écrits, explicites, sans ambiguïté, afind’éviter les quiproquos <strong>en</strong>tre les parties pr<strong>en</strong>antes au projet.48
XXXXXAvant l’étu<strong>de</strong>Une réflexion m<strong>en</strong>ée <strong>en</strong> amont permet <strong>de</strong> bi<strong>en</strong> préparer la démarche d’<strong>homologation</strong>et d’assurer sa réussite <strong>de</strong> façon optimale.Au préalable, il faut que la démarche soit portée à haut niveau par l’autoritéd’<strong>homologation</strong> et que l’<strong>en</strong>semble <strong>de</strong>s acteurs concernés soit impliqué etmotivée.Il faut égalem<strong>en</strong>t désigner un chef <strong>de</strong> projet, qui disposera <strong>de</strong>s moy<strong>en</strong>spour m<strong>en</strong>er à bi<strong>en</strong> sa mission et rapporter toute difficulté à l’autorité d’<strong>homologation</strong>.Enfin, dès que les acteurs <strong>de</strong> l’<strong>homologation</strong> sont i<strong>de</strong>ntifiés, il est indisp<strong>en</strong>sable<strong>de</strong> les s<strong>en</strong>sibiliser sur la démarche, les concepts et le vocabulaire quiseront utilisés.P<strong>en</strong>dant l’étu<strong>de</strong>Pour chaque activité à réaliser, il est conseillé <strong>de</strong> s’organiser <strong>en</strong> mo<strong>de</strong> projet, <strong>en</strong>i<strong>de</strong>ntifiant un responsable <strong>de</strong> l’activité, <strong>en</strong> constituant un groupe <strong>de</strong> travail et <strong>en</strong>lui confiant une mission précise, associée à une date <strong>de</strong> réalisation.Certaines missions sont ess<strong>en</strong>tielles pour la réussite du projet :> la s<strong>en</strong>sibilisation <strong>de</strong>s acteurs••rappeler l’objectif <strong>de</strong> l’activité••prés<strong>en</strong>ter les concepts, le vocabulaire••s’assurer que l’<strong>en</strong>semble <strong>de</strong>s acteurs ait une vision commune <strong>de</strong> laproblématique> la collecte <strong>de</strong>s informations••réaliser <strong>de</strong>s <strong>en</strong>treti<strong>en</strong>s••rassembler les docum<strong>en</strong>ts existants sur l’organisme, le projet49
XXXXX> le suivi du projet••prés<strong>en</strong>ter <strong>de</strong>s exemples pour lancer les discussions••synthétiser les informations récoltées pour validation par le groupe <strong>de</strong>travail••nommer <strong>de</strong>s responsables et fixer <strong>de</strong>s échéances••se r<strong>en</strong>contrer périodiquem<strong>en</strong>tIl est égalem<strong>en</strong>t nécessaire d’adapter les livrables aux <strong>de</strong>stinataires <strong>en</strong> ce quiconcerne :••la forme : tableaux, textes, schémas, etc. ;••le niveau d’information : recherche d’exhaustivité ou forme synthétique ;••l’intégration aux docum<strong>en</strong>ts existants ;••l’adaptation au vocabulaire habituel <strong>de</strong> l’organisme,••leur nom<strong>en</strong>clature, qui doit être explicite,••leur libellé, qui doit être court et <strong>de</strong>scriptif.Enfin, il est recommandé <strong>de</strong> faire vali<strong>de</strong>r chaque étape par la commissiond’<strong>homologation</strong>. Cela permet d’éviter les retours <strong>en</strong> arrière improductifs, tout<strong>en</strong> impliquant les autorités tout au long <strong>de</strong> la réalisation du dossier <strong>de</strong> sécurité.50
ANNEXES
ANNEXE 1Annexe 1Estimation rapi<strong>de</strong> du besoin <strong>de</strong> sécurité d’un système d’informationLe tableau suivant permet d’évaluer les besoins <strong>de</strong> sécurité du système d’information(SI) à homologuer, <strong>en</strong> estimant la gravité <strong>de</strong>s conséqu<strong>en</strong>ces pot<strong>en</strong>tielles d’unedéfaillance du SI, la s<strong>en</strong>sibilité <strong>de</strong>s données, le pot<strong>en</strong>tiel <strong>de</strong>s attaquants, le <strong>de</strong>gréd’exposition aux m<strong>en</strong>aces et l’importance <strong>de</strong>s vulnérabilités intrinsèques du SI.Si vous répon<strong>de</strong>z « Je ne sais pas » à plus <strong>de</strong> <strong>de</strong>ux questions, faites-vousai<strong>de</strong>r par la maîtrise d’ouvrage, qui connaît les <strong>en</strong>jeux du système.Question n° 1 : Votre système est-il important pour remplir vosmissions ?1 2 3 4NoteNon, le systèmeest accessoireà l’accomplissem<strong>en</strong>t<strong>de</strong>smissionsOui, les missionsserai<strong>en</strong>t fortem<strong>en</strong>tperturbéespar un dysfonctionnem<strong>en</strong>tduSI.Oui, les missionsdép<strong>en</strong><strong>de</strong>nttotalem<strong>en</strong>t du SIJe ne sais pasQuestion n° 2 : Si un sinistre atteint votre SI, causant un dysfonctionnem<strong>en</strong>tou une perte <strong>de</strong> données, les conséqu<strong>en</strong>ces <strong>en</strong> interne (pour vos services)serai<strong>en</strong>t-elles graves ?Exemple : une panne électrique ne permet pas d’utiliser le système, le cont<strong>en</strong>ud’une base <strong>de</strong> données a été supprimé, etc.52
ANNEXE 1Note1 2 3 4Non, lesconséqu<strong>en</strong>cesinternes d’unsinistre serai<strong>en</strong>tnégligeablesOui, lesconséqu<strong>en</strong>cesinternes d’unsinistre serai<strong>en</strong>tsignificativesOui, lesconséqu<strong>en</strong>cesinternes d’unsinistre serai<strong>en</strong>tgraves, voirefatalesJe ne sais pasQuestion n° 3 : Si un sinistre touche la sécurité <strong>de</strong> votre système (il nefonctionne plus ou pas bi<strong>en</strong>, vol d’informations…), les conséqu<strong>en</strong>ces pourl’extérieur (pour vos usagers, administrés…) serai<strong>en</strong>t-elles graves ?1 2 3 4Non, lesconséqu<strong>en</strong>cesd’un sinistrepour l’extérieurserai<strong>en</strong>tnégligeablesOui, lesconséqu<strong>en</strong>cesd’un sinistrepour l’extérieurserai<strong>en</strong>tsignificativesOui, lesconséqu<strong>en</strong>cesd’un sinistrepour l’extérieurserai<strong>en</strong>t graves,voire fatalesJe ne sais pasGravité <strong>de</strong>s conséqu<strong>en</strong>ces pot<strong>en</strong>tielles (reportez ici la valeur maximale<strong>de</strong>s réponses aux questions 1 à 3)Question n° 4 : Le fait que les données <strong>de</strong> votre système soi<strong>en</strong>t inaccessiblesest-il grave ?Exemple : vous ne pouvez pas accé<strong>de</strong>r aux données <strong>en</strong> raison d’une pannematérielle.1 2 3 4Non, le faitqu’il ne soit pasaccessible negêne quasim<strong>en</strong>tpas l’activitéOui, le faitqu’il ne soitpas accessibleperturberal’activité<strong>de</strong> manièresignificativeOui, le faitqu’il ne soit pasaccessible peutêtre fatal pourl’activitéJe ne sais pas53
ANNEXE 1NoteQuestion n° 5 : Le fait que les données <strong>de</strong> votre système soi<strong>en</strong>t altéréesest-il grave ?Exemple : un virus a modifié <strong>de</strong>s valeurs dans une base <strong>de</strong> données, les remettanttoutes à 0.1 2 3 4Non, le fait queles donnéessoi<strong>en</strong>t altérées negêne quasim<strong>en</strong>tpas l’activitéOui, le fait queles donnéessoi<strong>en</strong>t altéréesperturberal’activité<strong>de</strong> manièresignificativeOui, le fait queles donnéessoi<strong>en</strong>t altéréespeut être fatalpour l’activitéJe ne sais pasQuestion n° 6 : Le fait que les données <strong>de</strong> votre système ne soi<strong>en</strong>t pas ouplus confi<strong>de</strong>ntielles est-il grave ?Exemple : la liste <strong>de</strong>s bénéficiaires du service social est dévoilée.1 2 3 4Non, le défaut <strong>de</strong>confi<strong>de</strong>ntialiténe gênequasim<strong>en</strong>t pasl’activitéOui, le défaut <strong>de</strong>confi<strong>de</strong>ntialitéperturberal’activité<strong>de</strong> manièresignificativeOui, le défaut <strong>de</strong>confi<strong>de</strong>ntialitépeut être fatalpour l’activitéJe ne sais pasS<strong>en</strong>sibilité <strong>de</strong>s données du système (reportez ici la valeur maximale <strong>de</strong>sréponses aux questions 4 à 6)Question n° 7 : Quel est le niveau <strong>de</strong> compét<strong>en</strong>ce maximal présumé <strong>de</strong>l’attaquant ou du groupe d’attaquants susceptibles <strong>de</strong> porter atteinte au système?54
ANNEXE 1Note1 2 3 4Individu isolé<strong>de</strong> niveau <strong>de</strong>compét<strong>en</strong>ceélém<strong>en</strong>taireIndividu isolé<strong>de</strong> niveau <strong>de</strong>compét<strong>en</strong>ceavancéGroupe d’individusorganisés,<strong>de</strong> niveauxindividuels <strong>de</strong>compét<strong>en</strong>cefaibles à moy<strong>en</strong>s,ou individu isoléaux compét<strong>en</strong>cesexpertesGrouped’individusexperts,organisés, auxmoy<strong>en</strong>s quasiillimitésQuestion n° 8 : Quelle est la précision <strong>de</strong>s attaques pot<strong>en</strong>tielles <strong>en</strong>versle SI ?1 2 3 4Attaques « auhasard » sur lecyberespaceAttaquesori<strong>en</strong>tées versle contin<strong>en</strong>teuropé<strong>en</strong> ou laFranceAttaques ciblantun groupe<strong>de</strong> victimesprés<strong>en</strong>tant <strong>de</strong>scaractéristiquescommunesAttaques visantprécisém<strong>en</strong>t lesystèmeQuestion n° 9 : Quel est le niveau <strong>de</strong> sophistication <strong>de</strong>s attaques pot<strong>en</strong>tiellescontre le SI ?1 2 3 4Outils d’attaquetriviaux (logiciel<strong>de</strong> scan <strong>de</strong> ports,virus connus,etc.)Outils élaborésgénériquesprêts à l’emploi(réseaux <strong>de</strong>botnet loués,faille connue,etc.)Outilssophistiqués,adaptés pour leSI (zéro-day,etc.)Boîte à outilstrès hautem<strong>en</strong>tsophistiquée.55
ANNEXE 1NoteQuestion n° 10 : Quelle est la visibilité <strong>de</strong>s attaques pot<strong>en</strong>tielles contrele SI ?1 2 3 4Attaqueannoncée(rev<strong>en</strong>dications« d’hacktivistes »,rançon, etc.)Attaqueconstatéeimmédiatem<strong>en</strong>tpar ses effets surle SIAttaque discrète,qui laisse <strong>de</strong>straces dans lesjournaux d’événem<strong>en</strong>ts,mais neperturbe pas lefonctionnem<strong>en</strong>tdu SIAttaqueinvisible, réalisée<strong>en</strong> laissant leminimum <strong>de</strong>tracesQuestion n° 11 : Quelles sont la fréqu<strong>en</strong>ce et la persistance <strong>de</strong>s attaquespot<strong>en</strong>tielles contre le SI ?1 2 3 4Unique :l’attaque ne seproduit sur lacible qu’uneseule foisPonctuelle :l’attaque survi<strong>en</strong>tplusieurs foissans régularitédans safréqu<strong>en</strong>ce (ellepeut être liée àl’actualité).Récurr<strong>en</strong>te :attaquepar vaguessuccessivesimportantesPerman<strong>en</strong>te.Base d’estimation <strong>de</strong>s pot<strong>en</strong>tiels d’attaques cyber (reportez ici la valeurmaximale <strong>de</strong>s réponses aux questions 7 à 11)Question n° 12 : Quel est le niveau d’hétérogénéité du système ?Exemple : plusieurs logiciels, matériels ou réseaux différ<strong>en</strong>ts pour un mêmesystème.56
ANNEXE 2Note1 2 3 4Le système estjugé commehomogèneLe système estjugé commefaiblem<strong>en</strong>thétérogèneLe système estjugé commefortem<strong>en</strong>thétérogèneJe ne sais pasQuestion n° 13 : Quel est le <strong>de</strong>gré d’ouverture/interconnexion du système?Exemple : Internet, un autre système interne ou externe (celui d’un prestataire,d’une autre autorité administrative…)…1 2 3 4Le SI n’est pasouvertLe SI n’estouvert qu’à <strong>de</strong>ssystèmes internesmaîtrisésLe système estouvert à <strong>de</strong>ssystèmes internesnon maîtrisés ouexternesJe ne sais pasQuestion n° 14 : Le contexte dans lequel se trouve le SI et ses composants(matériels, logiciels, réseaux) évolue-t-il régulièrem<strong>en</strong>t ?1 2 3 4Le SI et soncontexte sontjugés stablesLe SI et soncontextechang<strong>en</strong>tsouv<strong>en</strong>tLe SI et soncontexteévolu<strong>en</strong>t <strong>en</strong>perman<strong>en</strong>ceJe ne sais pasQuestion n° 15 : Les composants du SI sont-ils mis régulièrem<strong>en</strong>t à jour ?1 2 3 4Les composantsdu SI sont toust<strong>en</strong>us à jour <strong>en</strong>perman<strong>en</strong>ceUne partie <strong>de</strong>scomposantsdu SI estrégulièrem<strong>en</strong>tmise à jourLes mises à joursont effectuées<strong>de</strong> manièreirrégulièreJe ne sais pas57
ANNEXE 1Exposition et vulnérabilités (reportez ici la valeur maximale <strong>de</strong>s réponsesaux questions 12 à 15)Additionner les valeurs maximales <strong>de</strong>s réponses aux questionsTOTALAvec ces résultats que l’on additionne, on estime ainsi le besoin <strong>de</strong> sécurité <strong>de</strong>son système :Somme <strong>de</strong>s quatre valeursDe 4 à 6De 7 à 9De 10 à 16Besoin <strong>de</strong> sécurité du système1 - Faible2 - Moy<strong>en</strong>3 - Fort58
ANNEXE 2Annexe 2Estimation rapi<strong>de</strong> du niveau <strong>de</strong> maturité <strong>de</strong> l’organismeLe tableau suivant permet d’évaluer le niveau <strong>de</strong> maturité <strong>en</strong> sécurité <strong>de</strong> votreorganisme.Le niveau <strong>de</strong> maturité <strong>en</strong> sécurité ne correspond pas au niveau réel <strong>de</strong>sécurité, mais à la capacité <strong>de</strong> l’organisme à gérer les risques, pour chaque systèmed’information.QuestionsOui / NonLes activités <strong>de</strong> sécurité sont-elles réalisées <strong>en</strong> utilisant <strong>de</strong>s pratiques<strong>de</strong> base (bonnes pratiques <strong>de</strong> sécurité, référ<strong>en</strong>tiels <strong>de</strong> mesures…) ?Si la case précé<strong>de</strong>nte est à Oui, alors votre organisme a un niveau<strong>de</strong> maturité élém<strong>en</strong>taire <strong>en</strong> sécurité, sinon, une démarche assistée estindisp<strong>en</strong>sable.Les activités <strong>de</strong> sécurité sont-elles planifiées ?Les acteurs affectés à <strong>de</strong>s activités <strong>de</strong> sécurité sont-ils formés (<strong>en</strong>interne ou par un organisme <strong>de</strong> formation) à la SSI (niveau <strong>de</strong> compét<strong>en</strong>ce<strong>en</strong> sécurité jugé suffisant) ?Certaines pratiques <strong>de</strong> sécurité sont-elles formalisées dans <strong>de</strong>sdocum<strong>en</strong>ts spécifiques (procédures) ?Des mesures <strong>de</strong> sécurité sont-elles <strong>en</strong> place ?59
ANNEXE 2Les autorités compét<strong>en</strong>tes sont-elles informées <strong>de</strong>s mesures effectuées?Si toutes les cases précé<strong>de</strong>ntes sont à Oui, alors votre organisme aun niveau <strong>de</strong> maturité moy<strong>en</strong> <strong>en</strong> sécurité.Les processus <strong>de</strong> sécurité sont-ils définis, standardisés et formalisés(définir la stratégie, gérer les risques, gérer les règles, superviser…) ?Des acteurs spécifiques sont-ils affectés à la gestion <strong>de</strong>s processus <strong>de</strong>sécurité et sont formés <strong>en</strong> conséqu<strong>en</strong>ce ?L’organisme dans sa globalité souti<strong>en</strong>t-il les processus <strong>de</strong> sécurité(les différ<strong>en</strong>ts niveaux hiérarchiques…) ?Les processus <strong>de</strong> sécurité sont-ils coordonnés dans tout le périmètrechoisi ?L’efficacité <strong>de</strong>s mesures <strong>de</strong> sécurité <strong>en</strong> place est-elle mesurée ?Des audits sont-ils effectués pour vérifier la suffisance <strong>de</strong>s mesures<strong>en</strong> place ? (Les mesures <strong>de</strong> sécurité effectuées sont-elles contrôlées[auditées] ?)Les processus <strong>de</strong> sécurité sont-ils améliorés <strong>en</strong> fonction <strong>de</strong>s mesures<strong>de</strong> sécurité effectuées ?Si toutes les cases précé<strong>de</strong>ntes sont à Oui, alors votre organisme aun niveau <strong>de</strong> maturité avancé <strong>en</strong> sécurité.60
ANNEXE 3Annexe 3Liste <strong>de</strong>s docum<strong>en</strong>ts pouvant être cont<strong>en</strong>us dans un dossier d’<strong>homologation</strong>Le dossier d’<strong>homologation</strong> peut cont<strong>en</strong>ir, <strong>en</strong> fonction <strong>de</strong> leur pertin<strong>en</strong>ce auregard du contexte et <strong>de</strong> la complexité du système, les élém<strong>en</strong>ts suivants.1 . La stratégie d’<strong>homologation</strong>L’autorité d’<strong>homologation</strong>, ou son représ<strong>en</strong>tant, formalise l’organisation <strong>de</strong>l’<strong>homologation</strong> dans un docum<strong>en</strong>t <strong>de</strong> synthèse. Cette stratégie d’<strong>homologation</strong>décrit les modalités <strong>de</strong> réalisation du processus d’<strong>homologation</strong>. Elle rappellel’<strong>en</strong>semble <strong>de</strong>s parties pr<strong>en</strong>antes à l’<strong>homologation</strong> et précise :••le cadre réglem<strong>en</strong>taire applicable (règles <strong>de</strong> protection <strong>de</strong>s informationsconfi<strong>de</strong>ntielles, règles sectorielles, etc.) ;••l’organisation (acteurs, missions, etc.) ;••la démarche ;••le périmètre ;••le cal<strong>en</strong>drier ;••la criticité <strong>de</strong>s informations utilisées dans le cadre <strong>de</strong> l’<strong>homologation</strong> ;••les pièces constitutives du dossier d’<strong>homologation</strong>.2 . L’analyse <strong>de</strong> risquesElle peut être m<strong>en</strong>ée selon une métho<strong>de</strong> éprouvée conforme aux normes existantes<strong>en</strong> matière <strong>de</strong> gestion <strong>de</strong>s risques SSI61
ANNEXE 33 . La politique <strong>de</strong> sécurité du systèmed’information (PSSI)La PSSI définit les principes et les exig<strong>en</strong>ces techniques et organisationnelles<strong>de</strong> sécurité du système d’information. Il s’agit du docum<strong>en</strong>t <strong>de</strong> référ<strong>en</strong>ce SSIapplicable à l’<strong>en</strong>semble <strong>de</strong> l’organisme ou dédié à un système.L’<strong>homologation</strong> peut aussi être l’occasion d’élaborer ou <strong>de</strong> compléter lapolitique <strong>de</strong> sécurité <strong>de</strong>s systèmes d’information (PSSI) <strong>de</strong> l’organisme, parexemple afin <strong>de</strong> généraliser <strong>de</strong>s règles indisp<strong>en</strong>sables au système d’informationhomologué. Le <strong>gui<strong>de</strong></strong> [PSSI] <strong>de</strong> l’ANSSI fournit une ai<strong>de</strong> pour élaborer unePSSI .Ce docum<strong>en</strong>t revêt différ<strong>en</strong>tes formes <strong>en</strong> fonction <strong>de</strong>s interlocuteurs(directives, procédures, co<strong>de</strong>s <strong>de</strong> conduite, règles organisationnelles et techniques,etc.)La PSSI inclut :••les élém<strong>en</strong>ts stratégiques ;••le périmètre du SI, les <strong>en</strong>jeux liés, les ori<strong>en</strong>tations stratégiques, lesaspects légaux et réglem<strong>en</strong>taires ;••les principes <strong>de</strong> sécurité par domaine (organisationnel, technique, mise<strong>en</strong> œuvre, etc.).Elle peut être complétée par une ou plusieurs politiques d’application, parexemple les procédures d’exploitation <strong>de</strong> la sécurité (PES).4 . Le journal <strong>de</strong> bord <strong>de</strong> l’<strong>homologation</strong>Il s’agit du registre <strong>de</strong>s décisions et <strong>de</strong>s principaux événem<strong>en</strong>ts qui sont interv<strong>en</strong>usp<strong>en</strong>dant la démarche d’<strong>homologation</strong>. Il prés<strong>en</strong>te les caractéristiques suivantes:• • il s’<strong>en</strong>richit au fur et à mesure du projet (docum<strong>en</strong>t <strong>de</strong> travail, feuille <strong>de</strong>route) pour adapter le processus aux évolutions du projet, notamm<strong>en</strong>t pourle planning ;62
ANNEXE 3••Il permet <strong>de</strong> formaliser les prises <strong>de</strong> décisions et les mises au pointnécessaires et <strong>de</strong> disposer d’un point <strong>de</strong> situation sur l’avancem<strong>en</strong>t du processusd’<strong>homologation</strong> (et les blocages év<strong>en</strong>tuels) ;••Il constitue la base pour réaliser le plan d’action associé à la décision d’<strong>homologation</strong>;••Il peut se prés<strong>en</strong>ter sous plusieurs formes :»»docum<strong>en</strong>ts isolés (comptes r<strong>en</strong>dus <strong>de</strong> réunions, notes, etc.) ;»»docum<strong>en</strong>t unique (registre formel <strong>de</strong> décisions, ou tableau <strong>de</strong> synthèseavec r<strong>en</strong>vois à <strong>de</strong>s docum<strong>en</strong>ts isolés par exemple).5 . Les référ<strong>en</strong>tiels <strong>de</strong> sécuritéLa démarche d’<strong>homologation</strong> doit être réalisée conformém<strong>en</strong>t aux exig<strong>en</strong>cesdécrites dans les référ<strong>en</strong>tiels <strong>de</strong> sécurité <strong>de</strong> l’autorité et <strong>en</strong> particulier :••la politique <strong>de</strong> sécurité <strong>de</strong>s systèmes d’information (PSSI) <strong>de</strong> l’autorité ;••la législation ou la réglem<strong>en</strong>tation particulière applicable à l’autoritéadministrative ;••les exig<strong>en</strong>ces <strong>de</strong> sécurité <strong>de</strong>s systèmes interconnectés au système à homologuer.6 . Le tableau <strong>de</strong> bord <strong>de</strong> l’application <strong>de</strong>s règlesd’hygiène informatiqueLes « 40 règles d’hygiène informatique » publiées par l’ANSSI sont applicablesdans toutes les situations. Un tableau <strong>de</strong> bord mesurant l’application <strong>de</strong> cesmesures d’hygiène montre la progression au sein du système, l’objectif étant <strong>de</strong>toutes les appliquer.63
ANNEXE 37 . La cartographie <strong>de</strong>s systèmes d’information<strong>de</strong> l’organismeLa cartographie complète du réseau local doit être établie. Elle compr<strong>en</strong>d :••la cartographie physique du réseau qui correspond à la répartitiongéographique <strong>de</strong>s équipem<strong>en</strong>ts et permet <strong>de</strong> connaître la position d’unéquipem<strong>en</strong>t réseau au sein <strong>de</strong>s différ<strong>en</strong>ts sites.••la cartographie logique du réseau (plan d’adressage IP, noms <strong>de</strong> sousréseaux,li<strong>en</strong>s logiques <strong>en</strong>tre ceux-ci, principaux équipem<strong>en</strong>ts actifs, etc.).Elle fait notamm<strong>en</strong>t apparaître les points d’interconnexion avec <strong>de</strong>s <strong>en</strong>tités« extérieures » (part<strong>en</strong>aires, fournisseurs <strong>de</strong> services, etc.) ainsi quel’<strong>en</strong>semble <strong>de</strong>s interconnexions avec Internet.••la cartographie <strong>de</strong>s applications. Le point <strong>de</strong> vue applicatif correspondaux applications métier et logiciels d’infrastructure utilisant l’architectureréseau comme support••la cartographie <strong>de</strong> l’administration du système d’informations.Elle représ<strong>en</strong>te le périmètre et le niveau <strong>de</strong> privilèges <strong>de</strong>s administrateurssur les ressources du parc informatique. Ce point <strong>de</strong> vue permet, <strong>en</strong> cas<strong>de</strong> compromission d’un compte d’administration, d’i<strong>de</strong>ntifier le niveau <strong>de</strong>privilège <strong>de</strong> l’attaquant et la portion du parc pot<strong>en</strong>tiellem<strong>en</strong>t impactée.8 . Les schémas détaillés <strong>de</strong>s architectures dusystèmeLes schémas détaillés <strong>de</strong>s architectures techniques et fonctionnelles dép<strong>en</strong><strong>de</strong>ntavant tout du périmètre choisi <strong>de</strong> l’<strong>homologation</strong> du SI, ainsi que du niveau <strong>de</strong>maturité <strong>de</strong> l’organisme.Les schémas doiv<strong>en</strong>t permettre <strong>de</strong> savoir quelle est la fonction principaledu SI et comm<strong>en</strong>t ce SI fonctionne.À cette fin, il faut disposer, au minimum, <strong>de</strong> l’annuaire (gestion <strong>de</strong>scomptes), du plan d’adressage, <strong>de</strong> la liste <strong>de</strong>s fonctions <strong>de</strong> sécurité et <strong>de</strong> la cartographiedu SI.64
ANNEXE 3Cette docum<strong>en</strong>tation doit être mise à jour afin <strong>de</strong> suivre les modificationssubies par le SI.Par exemple, si le périmètre <strong>de</strong> l’<strong>homologation</strong> est une application <strong>de</strong> téléservice,il faut fournir les élém<strong>en</strong>ts suivants :••les procédures d’exploitation <strong>de</strong> sécurité (PES) ;••le plan du mainti<strong>en</strong> <strong>en</strong> condition opérationnelle ;••la matrice <strong>de</strong>s flux <strong>en</strong>trant/sortant (interconnexions) ;••la docum<strong>en</strong>tation <strong>de</strong> la gestion <strong>de</strong>s comptes <strong>de</strong> l’application ;••la docum<strong>en</strong>tation <strong>de</strong> l’administration du SI et <strong>de</strong> l’installation ;••plan <strong>de</strong> sauvegar<strong>de</strong> et d’archivage <strong>de</strong>s données ;••plan <strong>de</strong> continuité ou <strong>de</strong> reprise d’activité.9 . Le docum<strong>en</strong>t prés<strong>en</strong>tant les risquesi<strong>de</strong>ntifiés et les objectifs <strong>de</strong> sécuritéCe docum<strong>en</strong>t doit être élaboré à l’issue d’une analyse <strong>de</strong> risques, réalisée (saufpour la démarche Pianissimo) <strong>en</strong> suivant une métho<strong>de</strong> éprouvée et maint<strong>en</strong>ue,si possible respectant la norme ISO 27005. Il prés<strong>en</strong>te les caractéristiques suivantes:• • il décrit les besoins et objectifs <strong>de</strong> sécurité du système <strong>en</strong> termes <strong>de</strong> disponibilité,d’intégrité et <strong>de</strong> confi<strong>de</strong>ntialité par rapport aux m<strong>en</strong>aces i<strong>de</strong>ntifiées.Au besoin, il peut être prés<strong>en</strong>té sous la forme d’une Fiche d’ExpressionRationnelle <strong>de</strong>s Objectifs <strong>de</strong> Sécurité (FEROS) .• • il indique la nature et la s<strong>en</strong>sibilité <strong>de</strong>s informations traitées par le systèmeet précise les contraintes qui restreign<strong>en</strong>t la conception, l’exploitation et lamaint<strong>en</strong>ance du système.• • il doit pr<strong>en</strong>dre <strong>en</strong> compte les architectures d’interconnexion, les moy<strong>en</strong>spartagés avec d’autres <strong>en</strong>tités, leurs conditions d’exploitation et <strong>de</strong> contrôle.• • sa rédaction nécessite la participation <strong>de</strong>s acteurs clés du système à homologuer,qui sont interrogés sur leurs besoins, le contexte d’emploi du systèmeet les événem<strong>en</strong>ts susceptibles d’impacter positivem<strong>en</strong>t ou négativem<strong>en</strong>t lesystème.65
ANNEXE 3••dans le cadre <strong>de</strong>s systèmes OTAN, il est <strong>de</strong>mandé un énoncé <strong>de</strong>s impératifs<strong>de</strong> sécurité (SRS) (ou un équival<strong>en</strong>t national). Le SRS est un énoncécomplet et explicite <strong>de</strong>s principes <strong>de</strong> sécurité détaillés à satisfaire. Il existeplusieurs types <strong>de</strong> SRS :»»CSRS, énoncé <strong>de</strong>s impératifs <strong>de</strong> sécurité applicables à un <strong>en</strong>sembled’interconnexions lorsque plusieurs SI sont interconnectés ;»»SSRS, énoncé <strong>de</strong>s impératifs <strong>de</strong> sécurité propres à un système dans<strong>de</strong>s situations simples (système autonome, par exemple) ;»»SISRS, énoncé <strong>de</strong>s impératifs <strong>de</strong> sécurité applicables à une interconnexion<strong>de</strong> systèmes, lorsque <strong>de</strong>ux SIC doiv<strong>en</strong>t être connectés <strong>en</strong>treeux pour échanger <strong>de</strong>s informations, le SISRS constitue la base d’unaccord <strong>en</strong>tre les <strong>de</strong>ux autorités d’exploitation <strong>de</strong>s SIC et les <strong>de</strong>uxautorités d’approbation ou d’<strong>homologation</strong> <strong>de</strong> sécurité ;»»le SEISRS qui est la cible <strong>de</strong> sécurité (ou énoncé <strong>de</strong>s impératifs <strong>de</strong>sécurité électronique propres à un système.10 . Les procédures d’exploitation du systèmeCes procédures doiv<strong>en</strong>t être détaillées et directem<strong>en</strong>t applicables. Elles expos<strong>en</strong>tles mesures <strong>de</strong> sécurité permettant <strong>de</strong> répondre aux objectifs <strong>de</strong> sécurité fixés parl’autorité d’<strong>homologation</strong>. Elles prés<strong>en</strong>t<strong>en</strong>t les droits et les <strong>de</strong>voirs <strong>de</strong>s accédants ausystème ainsi que les actions à réaliser dans le cadre <strong>de</strong> l’utilisation quotidi<strong>en</strong>ne dusystème.Ces procédures sont établies par les équipes d’exploitation internes à l’organismeet/ou par les fournisseurs du système à homologuer, év<strong>en</strong>tuellem<strong>en</strong>t àl’ai<strong>de</strong> <strong>de</strong>s <strong>gui<strong>de</strong></strong>s publiés par l’ANSSI .L’autorité d’<strong>homologation</strong> doit s’assurer que les procédures fournies ontété testées avec succès avant <strong>de</strong> prononcer l’<strong>homologation</strong>. Un dossier <strong>de</strong> testscomplétera utilem<strong>en</strong>t le dossier d’<strong>homologation</strong>.66
ANNEXE 311 . Les exig<strong>en</strong>ces <strong>de</strong> sécurité à <strong>de</strong>stination <strong>de</strong>ssystèmes interconnectésLes systèmes cont<strong>en</strong>ant <strong>de</strong>s informations s<strong>en</strong>sibles ne doiv<strong>en</strong>t pas être connectésdirectem<strong>en</strong>t aux réseaux publics tels qu’Internet ou les réseaux WiFi <strong>de</strong>shôtels, <strong>de</strong>s gares ou <strong>de</strong>s aéroports.12 . Les décisions d’<strong>homologation</strong> <strong>de</strong>s systèmesinterconnectésSi les systèmes connectés au système concerné, ont déjà fait l’objet d’une<strong>homologation</strong>, il faut joindre les décisions d’<strong>homologation</strong> associées aux systèmesainsi que les dossiers associés, si possible et si nécessaire. En effet, il estimpératif <strong>de</strong> savoir, au minimum, par qui le système a été homologué, à quelledate et quelle est la référ<strong>en</strong>ce <strong>de</strong> cette <strong>de</strong>rnière <strong>homologation</strong>.13 . Les certificats <strong>de</strong> sécurité <strong>de</strong>s produitsutilisésLes agrém<strong>en</strong>ts <strong>de</strong>s dispositifs <strong>de</strong> sécurité, prononcés <strong>en</strong> application <strong>de</strong>s dispositions<strong>de</strong> l’IGI 1300, doiv<strong>en</strong>t figurer dans le dossier d’<strong>homologation</strong>.Les décisions <strong>de</strong> ne pas faire agréer par l’ANSSI un dispositif <strong>de</strong> sécurité,lui-même utilisé comme moy<strong>en</strong> <strong>de</strong> protection contre les accès non autorisés auxinformations classifiées ou au système, doiv<strong>en</strong>t être égalem<strong>en</strong>t jointes au dossier,ainsi que les élém<strong>en</strong>ts ayant contribué à ces décisions.67
ANNEXE 314 . Les attestations <strong>de</strong> qualification <strong>de</strong>sproduits ou prestatairesDans la mesure où le système met <strong>en</strong> œuvre <strong>de</strong>s produits <strong>de</strong> sécurité certifiés ouqualifiés ou <strong>en</strong>core <strong>de</strong>s services <strong>de</strong> confiance qualifiés, il est nécessaire d’inclureles attestations correspondantes dans le dossier d’<strong>homologation</strong>.Si elles sont disponibles, les analyses <strong>de</strong> sécurité <strong>de</strong>s produits <strong>de</strong> sécurité,<strong>en</strong> particulier les instructions techniques d’emploi, peuv<strong>en</strong>t égalem<strong>en</strong>t être intégréesau dossier d’<strong>homologation</strong>.15 . Les plans <strong>de</strong> tests et d’auditsDes docum<strong>en</strong>ts doiv<strong>en</strong>t i<strong>de</strong>ntifier formellem<strong>en</strong>t les tests et les audits nécessaireset préciser par qui ils doiv<strong>en</strong>t être effectués et selon quel planning.Pour mémoire, <strong>de</strong>s audits doiv<strong>en</strong>t être prévus après la décision d’<strong>homologation</strong>,afin d’assurer le mainti<strong>en</strong> <strong>en</strong> conditions opérationnelles du système.16 . Les rapports <strong>de</strong> tests et d’audits et lesplans d’action associésPour les systèmes déjà <strong>en</strong> production <strong>de</strong>puis un an ou plus, il est recommandé<strong>de</strong> procé<strong>de</strong>r d’emblée à un audit technique sur le système à homologuer, le caséchéant avant l’analyse <strong>de</strong>s risques.Pour les systèmes <strong>en</strong> cours <strong>de</strong> conception, l’audit pourra être réalisé à l’occasion<strong>de</strong> la procédure <strong>de</strong> recette applicative.Pour les systèmes existants requérant un besoin particulier <strong>de</strong> sécurité, ilest recommandé <strong>de</strong> procé<strong>de</strong>r, <strong>en</strong> première action, à un audit technique et organisationnelafin d’optimiser la procédure d’<strong>homologation</strong>.L’audit doit m<strong>en</strong>er à la l’établissem<strong>en</strong>t d’une liste <strong>de</strong>s vulnérabilités détectéeset du plan d’action affér<strong>en</strong>t.68
ANNEXE 3Les audits doiv<strong>en</strong>t être réalisés par <strong>de</strong>s équipes préalablem<strong>en</strong>t validées parl’autorité d’<strong>homologation</strong>.Ils doiv<strong>en</strong>t porter sur les mesures <strong>de</strong> sécurité liées à l’exploitation du systèmeet les comparer à l’état <strong>de</strong> l’art.Les audits doiv<strong>en</strong>t être m<strong>en</strong>és dans les formes prévues par le référ<strong>en</strong>tield’exig<strong>en</strong>ces relatif aux prestataires d’audit <strong>de</strong> la sécurité <strong>de</strong>s systèmes d’information.17 . Le dossier <strong>de</strong>s risques résiduelsCe dossier comporte une analyse <strong>de</strong> la couverture <strong>de</strong>s risques et <strong>de</strong> l’atteinte <strong>de</strong>sobjectifs <strong>de</strong> sécurité au travers :••<strong>de</strong>s procédures d’exploitation sécurisée du système ;••<strong>de</strong> la PSSI.Il prés<strong>en</strong>te égalem<strong>en</strong>t les vulnérabilités résiduelles constatées lors <strong>de</strong>s tests et<strong>de</strong>s audits et non corrigées ainsi que les plans d’action associés.18 . Les év<strong>en</strong>tuelles décisions d’<strong>homologation</strong>antérieuresLe dossier doit comporter tous les docum<strong>en</strong>ts relatifs aux év<strong>en</strong>tuelles <strong>homologation</strong>sprécé<strong>de</strong>ntes.19 . Le tableau <strong>de</strong> bord <strong>de</strong>s inci<strong>de</strong>nts et <strong>de</strong> leurrésolutionCe tableau recueille l’<strong>en</strong>semble <strong>de</strong>s inci<strong>de</strong>nts surv<strong>en</strong>us sur le SI avec l’i<strong>de</strong>ntification<strong>de</strong> leur(s) cause(s), les conséqu<strong>en</strong>ces et les modalités <strong>de</strong> résolution <strong>de</strong>l’inci<strong>de</strong>nt. Il précise égalem<strong>en</strong>t le plan d’action associé.69
ANNEXE 320 . Le journal <strong>de</strong>s évolutionsCe journal consigne les évolutions du système, notamm<strong>en</strong>t celles ayant uneinci<strong>de</strong>nce sur les critères et conditions <strong>de</strong> l’<strong>homologation</strong>.Il compr<strong>en</strong>d, <strong>en</strong> particulier, la liste <strong>de</strong>s mesures <strong>de</strong> sécurité apportées <strong>en</strong>prév<strong>en</strong>tion <strong>de</strong> risques ou <strong>en</strong> correction d’anomalies ou <strong>de</strong> vulnérabilités constatéesdans les audits.70
ANNEXE 4Annexe 4Liste <strong>de</strong> m<strong>en</strong>aces, issue <strong>de</strong> la base <strong>de</strong> connaissance EBIOSM<strong>en</strong>aces sur les matérielsUsage d’un équipem<strong>en</strong>t ou d’un matériel :••utilisation abusive d’un ordinateur à <strong>de</strong>s fins personnelles, voire pour unusage inapproprié ou illicite ;••stockage <strong>de</strong> fichiers personnels sur l’ordinateur <strong>de</strong> bureau (ex. vidéos nonprofessionnelles) ;••usage d’une imprimante à <strong>de</strong>s fins personnelles ou au détrim<strong>en</strong>t d’autrui ;••stockage d’informations s<strong>en</strong>sibles sur <strong>de</strong>s supports inappropriés (disquedur non protégé, clé USB, CDROM laissé sur un bureau…) ;••perte ou vol d’un ordinateur (surtout portable), ou d’un support <strong>de</strong> donnéesélectronique (clé USB, CDROM, disque dur amovible) notamm<strong>en</strong>tlors d’un déplacem<strong>en</strong>t ou d’un déménagem<strong>en</strong>t.Observation d’un équipem<strong>en</strong>t :• • observation d’un écran à travers une f<strong>en</strong>être ;• • observation <strong>de</strong> la saisie d’un co<strong>de</strong> au clavier ;• • écoute d’une conversation diffusée sur les haut-parleurs <strong>de</strong> l’ordinateur ;• • géolocalisation d’un matériel (à partir <strong>de</strong> son adresse IP ou par le réseautéléphonique) ;• • interception <strong>de</strong> signaux compromettants émis par l’affichage à l’écran oules touches du clavier ;• • pose d’un dispositif-espion matériel (keylogger) sur la face arrière d’unposte <strong>de</strong> travail.71
ANNEXE 4Fonctionnem<strong>en</strong>t du matériel :••surcharge d’un disque dur ou d’un serveur aboutissant à une panne ;••perturbations électriques ou électromagnétiques ;••panne électrique involontaire (remplacem<strong>en</strong>t d’un poste par un ordinateurplus consommateur <strong>en</strong> énergie, rupture <strong>de</strong> câbles électriques suite à <strong>de</strong>stravaux <strong>de</strong> terrassem<strong>en</strong>t, court-circuit dû à la foudre, erreur <strong>de</strong> branchem<strong>en</strong>tou inci<strong>de</strong>nt électrique…) ;••vieillissem<strong>en</strong>t du matériel susceptible d’<strong>en</strong>traîner un crash du disque dur ;••multiples déplacem<strong>en</strong>ts du matériel (ordinateur portable) ;••ordinateur travaillant dans un milieu pollué, humi<strong>de</strong>, ou corrosif (atelierindustriel…), ou <strong>en</strong> prés<strong>en</strong>ce d’on<strong>de</strong>s électromagnétiques ou <strong>de</strong> vibrations;••chute du matériel p<strong>en</strong>dant une installation ou un déménagem<strong>en</strong>t (voirvandalisme) ;••effacem<strong>en</strong>t <strong>de</strong>s données par passage d’un aimant sur un disque dur ;••prés<strong>en</strong>ce d’un co<strong>de</strong> malveillant <strong>de</strong>stiné à empêcher le fonctionnem<strong>en</strong>t <strong>de</strong>tout ou partie du matériel.M<strong>en</strong>aces sur les logicielsM<strong>en</strong>aces sur l’usage <strong>de</strong> logiciels• • un logiciel est piégé (keylogger), ou corrompu par un co<strong>de</strong> malveillant ;• • un logiciel accè<strong>de</strong> ou copie <strong>de</strong> manière inappropriée voire illicite <strong>de</strong>s donnéesmétiers, <strong>de</strong>s données <strong>de</strong> configuration d’équipem<strong>en</strong>ts, ou collecte <strong>de</strong>sdonnées métiers partagées dans un réseau ;• • un logiciel supprime <strong>de</strong> manière inappropriée <strong>de</strong>s données, journauxd’événem<strong>en</strong>ts, <strong>en</strong>registrem<strong>en</strong>ts <strong>de</strong> conversations, etc. qu’ils soi<strong>en</strong>t <strong>en</strong> mémoire,sur un disque dur ou sur un support ;• • un logiciel crée ou modifie <strong>de</strong>s données <strong>de</strong> manière inappropriée : messagesinjurieux sur un forum, configuration d’un système, insertion d’unepage web ou défiguration sur un site Internet, élévation <strong>de</strong> privilèges d’un72
ANNEXE 4compte utilisateur, effacem<strong>en</strong>t <strong>de</strong> traces d’opérations dans un journald’événem<strong>en</strong>ts, frau<strong>de</strong> ;••un logiciel collecte <strong>de</strong>s données <strong>de</strong> configuration d’un réseau, balaie lesadresses internes réseau ou rec<strong>en</strong>se les ports ouverts ;••un logiciel exploite <strong>de</strong>s données <strong>de</strong> base pour <strong>en</strong> extraire <strong>de</strong>s informationsconfi<strong>de</strong>ntielles (recoupem<strong>en</strong>t, infoc<strong>en</strong>tre) ;••un logiciel utilise <strong>de</strong>s mécanismes <strong>de</strong> stéganographie pour transmettre <strong>de</strong>sdonnées discrètem<strong>en</strong>t ;••un ag<strong>en</strong>t utilise un logiciel professionnel pour <strong>de</strong>s besoins personnels ;••un ag<strong>en</strong>t connecte son ordinateur portable personnel compromis par unattaquant au réseau ;••un ag<strong>en</strong>t transfère systématiquem<strong>en</strong>t tous les messages qu’il reçoit sur uncompte <strong>de</strong> messagerie personnel dont le mot <strong>de</strong> passe a été cassé par ungroupe d’attaquant notoire ;••une machine du réseau est compromise pour réaliser un <strong>en</strong>voi massif d’informationspar courrier électronique (spam) ;••un utilisateur utilise, volontairem<strong>en</strong>t une copie d’un logiciel dont le fonctionnem<strong>en</strong>tn’est pas garanti (par exemple une contrefaçon) ;••un logiciel est utilisé sans achat <strong>de</strong> la lic<strong>en</strong>ce correspondante, ou la lic<strong>en</strong>c<strong>en</strong>’est pas r<strong>en</strong>ouvelée ;••un logiciel est analysé par l’attaquant <strong>en</strong> vue d’être corrompu : observation<strong>de</strong> son fonctionnem<strong>en</strong>t, observation <strong>de</strong> l’emploi <strong>de</strong> son espace mémoire,ingénierie inverse, etc. ;••tout ou partie du logiciel est détruit par un virus (bombe logique…) ;••le logiciel est modifié <strong>de</strong> manière involontaire : mise à jour avec une mauvaiseversion, modification <strong>de</strong> la configuration <strong>en</strong> maint<strong>en</strong>ance, activationou désactivation <strong>de</strong> fonctions, changem<strong>en</strong>t <strong>de</strong> paramétrage du réseau,modification <strong>de</strong>s règles <strong>de</strong> routage ou <strong>de</strong> résolution <strong>de</strong>s noms <strong>de</strong> domaine.73
ANNEXE 4M<strong>en</strong>aces sur les réseaux••un attaquant écoute les informations circulant sur le réseau informatiqueou téléphonique, et réémet un message confi<strong>de</strong>ntiel vers l’adresse d’unforum public ;••un attaquant sature le réseau par un <strong>en</strong>voi massif <strong>de</strong> messages ;••un point d’accès sans fil mal configuré permet l’écoute <strong>de</strong> l’<strong>en</strong>semble <strong>de</strong>sdonnées qui transit<strong>en</strong>t par Wifi ;••un attaquant sectionne les câbles d’une ligne téléphonique (tord la fibreoptique) empêchant physiquem<strong>en</strong>t la transmission <strong>de</strong>s messages ;••une équipe <strong>de</strong> maint<strong>en</strong>ance remplace un câble existant par un autre <strong>de</strong>moins gran<strong>de</strong> capacité, etc. ;••<strong>de</strong>s voleurs dérob<strong>en</strong>t les câbles <strong>de</strong> transmission <strong>en</strong> cuivre pour les rev<strong>en</strong>dreà la ferraille.M<strong>en</strong>aces sur les personnels••l’unique administrateur d’une application critique est victime d’une épidémie<strong>de</strong> grippe••une grève <strong>de</strong>s transports paralyse l’accès au site hébergeant les postes <strong>de</strong>travail ;••une contamination dans le restaurant d’<strong>en</strong>treprise crée une intoxicationalim<strong>en</strong>taire chez <strong>de</strong> nombreux ag<strong>en</strong>ts ;••l’un <strong>de</strong>s ag<strong>en</strong>ts se déplaçant régulièrem<strong>en</strong>t bavar<strong>de</strong> avec <strong>de</strong>s inconnusr<strong>en</strong>contrés au wagon-bar du TGV <strong>de</strong>s anomalies <strong>de</strong> fonctionnem<strong>en</strong>t dusystème ;••un ag<strong>en</strong>t, perturbé par une surcharge <strong>de</strong> tâches, commet <strong>de</strong>s erreurs <strong>de</strong>manipulation du système ;••l’ergonomie du poste <strong>de</strong> travail (mauvais éclairage, siège inconfortable,etc.) nuit au bon usage du logiciel ;••un ag<strong>en</strong>t passe une part significative <strong>de</strong> son temps <strong>de</strong> travail sur les sites<strong>de</strong> jeux <strong>en</strong> ligne, ce qui nuit à l’efficacité du système ;74
ANNEXE 4••l’ag<strong>en</strong>t expert dans l’usage d’une fonction critique du système <strong>de</strong>man<strong>de</strong> samutation pour se rapprocher <strong>de</strong> son conjoint ;••une réorganisation ou un déménagem<strong>en</strong>t romp<strong>en</strong>t les échanges <strong>en</strong>tre personnesqui s’étai<strong>en</strong>t établies pour pallier les faiblesses fonctionnelles dusystème.M<strong>en</strong>aces sur les locaux• • il existe un risque qu’un inc<strong>en</strong>die se décl<strong>en</strong>che dans les locaux sans êtredétecté ;• • le bâtim<strong>en</strong>t hébergeant le système se situe dans une zone industriellecomportant <strong>de</strong>s <strong>en</strong>treprises soumises à autorisation préfectorale (ex.SEVESO) susceptibles <strong>de</strong> générer un acci<strong>de</strong>nt industriel (explosion) ;• • emploi <strong>de</strong> mauvais matériaux, construction défectueuse, mouvem<strong>en</strong>ts <strong>de</strong>terrain sapant les fondations, infiltration d’eau dans le sol, etc.75
Version 2.0 - Juin 201420140604-1555Lic<strong>en</strong>ce Ouverte/Op<strong>en</strong> Lic<strong>en</strong>ce (Etalab - V1)AGENCE NATIONALE DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATIONANSSI - 51, boulevard <strong>de</strong> la Tour-Maubourg - 75700 PARIS 07 SPwww.ssi.gouv.fr / communication@ssi.gouv.fr